java设置接口白名单 java白名单怎么添加

转载

liutao988 2024-03-14 21:05:44

文章标签 java设置接口白名单 java开发安全 java 序列化反序列化 文章分类 Java 后端开发

Java Security Develop

1. 拒绝服务 DDOS

xml外部实体攻击(阻塞)

定义白名单

自定义 EntityResolver 接口

过滤 systemID

文件资源释放:

final InputStream in = new FileInputStream(file);
try {
use (in);
} finally {
{} in.close();
}
数据库资源释放
connection，statement，resultset
注意实现方法：配置实现/编码实现
2. 敏感信息
避免直接输出异常信息
try {
excute(Exception e) {
e.printStackTrace();
}
}
避免日志输出 sensitive info
if (loginSuccessful) {
logger.save("User.."+name+...)
}
3. 注入问题
使用函数对外部输入标准化
// Nomalize
s = Normalizer.normalize(s, Form.NFKC);
// Validate (declare or make legally valid)
Pattern pattern = Pattern.compile("[<>]");
Matcher matcher = pattern.mattcher(s);
if (matcher.find()) {
// Found black listed tag
throw new IllegalStateException();
}
动态SQL
参数化查询
PreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE PASSWORD = ?");
prep.setString(1, pwd);
过滤敏感字符
前端过滤 服务器端过滤
'|and|exec|insert|select|delete|upadte|count|* |'
XML 注入问题
XSD约束，过滤敏感字符
Xpath注入
命令行注入
Runtime.exec() 过滤，白名单 绕过不使用runtime.exec(),使用api来 ls/dir
正则表达式注入
4. 可访问性和扩展性
限制类，接口，方法和字段的可访问
包的访问权限，防止反射
Final类和方法。不允许扩展类和方法声明final
5. 序列化和反序列化 Transient
在包含系统资源的直接句柄和相对地址空间信息的字段前使用 transient 关键字。
如果资源，如文件句柄不声明为transient，该对象在序列化状态下可能被修改，从而使反序列化获取对资源的不当访问。
敏感资源加密后再序列化。
6. 编码问题
调用方法的返回值(错误示范)
public void deleteFile() {
File someFile = new File("someFileName.txt")
// do something with some File
someFile.delete();
}
正确示范:
public void deleteFile() {
File some...;
if (!someFile.delete()){
// handle faiure to delete the file
}
}
空指针引用
NullPointerException 判断是否为空
整数溢出
向上类型转换，使用BigInteger
== 与 equals
类型，地址的比较的不同
在比较对象时，未明确实现equals的类会导致继承java.lang.Object的equal
而Object.equals()将比较两个对象实例而不是对象成员，所以equals方法要尽量重写
返回数组问题
安全代码
public class XXX {
private String[] xxx;
public String[] getXXX() {
String temp[] = Arrays.copyof(...);
return temp;
}
}
读取字节/符流
使用int类型的返回值，防止byte中255补码为-1中止
安全代码
FileInputStream in;
// initialize stream
int inbuff;
byte data;
while((inbuff=in.read()) !=-1) {
data=(byte)inbuff;
// ...
}
FileReader in;
//initialize stream
int inbuff;
char data;
while((inbuff=in.read() !=-1)) {
data=(char)inbuff;
// ...
}

本地方法调用安全

载入时传入参数检查，防止java平台之外的问题

Double解析问题

java.lang.Double.parseDouble() 6.0版本以下的漏洞

7. 第三方组件安全问题

测试加固更新

8. 程序设计与检测

程序仅仅实现指定功能

永不信任用户输入

必须考虑异常情况并处理

不在error之后继续执行

尽可能的使用安全函数