Java Security Develop
1. 拒绝服务 DDOS
xml外部实体攻击(阻塞)
- 定义白名单
- 自定义 EntityResolver 接口
- 过滤 systemID
文件资源释放:
final InputStream in = new FileInputStream(file);
try {
use (in);
} finally {
{} in.close();
}
数据库资源释放
connection,statement,resultset
注意实现方法:配置实现/编码实现
2. 敏感信息
-
避免直接输出异常信息
try { excute(Exception e) { e.printStackTrace(); } }
-
避免日志输出 sensitive info
if (loginSuccessful) { logger.save("User.."+name+...) }
3. 注入问题
-
使用函数对外部输入标准化
// Nomalize s = Normalizer.normalize(s, Form.NFKC); // Validate (declare or make legally valid) Pattern pattern = Pattern.compile("[<>]"); Matcher matcher = pattern.mattcher(s); if (matcher.find()) { // Found black listed tag throw new IllegalStateException(); }
-
动态SQL
参数化查询
PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE PASSWORD = ?");
prep.setString(1, pwd);
过滤敏感字符
前端过滤 服务器端过滤
'|and|exec|insert|select|delete|upadte|count|* |'
- XML 注入问题
XSD约束,过滤敏感字符
-
Xpath注入
-
命令行注入
Runtime.exec() 过滤,白名单 绕过不使用runtime.exec(),使用api来 ls/dir
- 正则表达式注入
4. 可访问性和扩展性
- 限制类,接口,方法和字段的可访问
- 包的访问权限,防止反射
- Final类和方法。不允许扩展类和方法声明final
5. 序列化和反序列化 Transient
在包含系统资源的直接句柄和相对地址空间信息的字段前使用 transient 关键字。
如果资源,如文件句柄不声明为transient,该对象在序列化状态下可能被修改,从而使反序列化获取对资源的不当访问。
敏感资源加密后再序列化。
6. 编码问题
-
调用方法的返回值(错误示范)
public void deleteFile() {
File someFile = new File("someFileName.txt")
// do something with some File
someFile.delete();
}
正确示范:public void deleteFile() { File some...; if (!someFile.delete()){ // handle faiure to delete the file } }
-
空指针引用
NullPointerException 判断是否为空
- 整数溢出
向上类型转换,使用BigInteger
- == 与 equals
类型,地址的比较的不同
在比较对象时,未明确实现equals的类会导致继承java.lang.Object的equal
而Object.equals()将比较两个对象实例而不是对象成员,所以equals方法要尽量重写
- 返回数组问题
安全代码
public class XXX {
private String[] xxx;
public String[] getXXX() {
String temp[] = Arrays.copyof(...);
return temp;
}
}
- 读取字节/符流
使用int类型的返回值,防止byte中255补码为-1中止
安全代码
FileInputStream in;
// initialize stream
int inbuff;
byte data;
while((inbuff=in.read()) !=-1) {
data=(byte)inbuff;
// ...
}
FileReader in;
//initialize stream
int inbuff;
char data;
while((inbuff=in.read() !=-1)) {
data=(char)inbuff;
// ...
}
- 本地方法调用安全
载入时传入参数检查,防止java平台之外的问题
- Double解析问题
java.lang.Double.parseDouble() 6.0版本以下的漏洞
7. 第三方组件安全问题
测试 加固 更新
8. 程序设计与检测
- 程序仅仅实现指定功能
- 永不信任用户输入
- 必须考虑异常情况并处理
- 不在error之后继续执行
- 尽可能的使用安全函数
- 使用源码检测产品
网友评论