威胁描述 程序会调用解析 double 类型的方法，这会导致线程被挂起。 威胁说明 在实施 java.lang.D...[作者空间]

威胁描述 Java常用SimpleDateFormat做时间转换，但SimpleDateFormat不是线程安全的...[作者空间]

说明 在doFilter设置XSS过滤防护的方案可以在请求入口处做统一过滤，是一个能解决根本问题的方案。 关于过滤...[作者空间]

ESAPI（Enterprise Security API）是一个免费开源的Web应用程序API，目的帮助开发者开...[作者空间]

威胁描述 计算未验证的 SpEL 表达式可能导致执行远程代码。 威胁说明 Spring 表达式语言（简写为 SpE...[作者空间]

威胁说明 如果Java应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生...[作者空间]

描述 XML 解析器无法预防和限制外部实体进行解析，这会使解析器暴露在 XML External Entities...[作者空间]

转自天猫 Android开发工程师：Longerian原文阅读：Android App 安全的HTTPS 通信 起...[作者空间]

描述 当违反程序员的一个或多个假设时，通常会出现 null 指针异常。如果程序明确将对象设置为null，但稍后却间...[作者空间]

描述 使用无效的或有风险的加密算法会产生不必要的风险，导致敏感信息暴露。 案例 问题 对称加密算法问题Q1：如使用...[作者空间]