文档章节

Java编程安全漏洞之:数据或系统信息安全

贾峰uk
 贾峰uk
发布于 2017/03/21 11:55
字数 302
阅读 385
收藏 0

Cleartext_Submission_of_Sensitive_Information

明文提交敏感数据,使用明文通信方式传输、提交敏感数据

修复建议

加密后再提交或使用加密的通信方式传输、提交敏感数据。

Use_of_Insufficiently_Random_Values

使用了不够随机的随机值

修复建议

使用足够随机的随机值,如使用java自带Random生成随机数,则可添加一定算法。

修复示例

如:

       public void Use_of_Insufficiently_Random_Values(){

              String rans = new Random().nextInt() + "";

       }

修复为:

       public void Use_of_Insufficiently_Random_Values_Fix(){

              String rans = new Random().nextDouble() + "";

       }

Use_of_a_One_Way_Hash_without_a_Salt

使用了没有添加盐值的单向散列函数

修复建议

添加盐值。

修复示例

如:

       public void Use_of_a_One_Way_Hash_without_a_Salt(){

              String text = "";

              String dtext = "";

              MessageDigest md = MessageDigest.getInstance("SHA");

              byte[] dbts = md.digest(text.getBytes());

              dtext = new String(dbts);

       }

修复为:

       public void Use_of_a_One_Way_Hash_without_a_Salt_Fix(){

              String text = "";

              String dtext = "";

              MessageDigest md = MessageDigest.getInstance("SHA");

              md.update(("" + new Random().nextDouble()).getBytes());

              byte[] dbts = md.digest(text.getBytes());

              dtext = new String(dbts);

       }

HttpOnlyCookies_In_Config

启用了Cookie功能。

修复建议

关闭Cookie功能,只有http协议使用。

修复示例

在web.xml中添加或设置如下属性:

       <session-config>

              <cookie-config>

                     <http-only>true</http-only>

              </cookie-config>

       </session-config>

External_Control_of_Critical_State_Data

程序在一个未经授权的用户可以访问的位置存储了与用户或软件本身相关的安全状态信息。

© 著作权归作者所有

贾峰uk
粉丝 2
博文 110
码字总数 171435
作品 0
深圳
私信 提问
32、如何写出安全的Java代码?

在上一讲中,我们已经初步接触了 Java 安全,今天我们将一起探讨更多 Java 开发中可能影响到安全的场合。很多安全问题,在特定的上下文,存在着不同的定义,尽管本质是相似或一致的,这是由于...

qq541005640
01/08
0
0
2013年3月编程语言排行榜:有毒的Java

【IT168 评论】2013年3月12日,Tiobe公布了新一期编程语言排行榜。Java依旧是占据第一的位置,C语言紧随其后。值得注意的Objective-C持续发力,已经占到了第三的位置。咋一看榜单,前5条中C...

作者:彭凡
2013/03/13
0
0
安全预警:独立发布的Oracle严重 CVE-2018-3110 公告

在 2018年8月10日,Oracle 独立的发送了一封"安全警告"邮件给所有的 Oracle 用户,这封邮件的标题是:Oracle Security Alert for CVE-2018-3110。这也是今年 Oracle 第一次独立针对一个 CVE ...

技术小能手
2018/08/14
0
0
Java 出现零时差漏洞 专家建议暂时禁用

目前多家资讯安全公司发布资讯安全通告表示,目前的Java含有未修补的漏洞,而且黑客已经在攻击中利用该漏洞,因此在甲骨文(Oracle)修补该漏洞之前,用户应该先禁用或解除安装Java。 首先披...

it224
2012/08/29
4.8K
35
微信支付 SDK 惊爆漏洞:黑客可 0 元购买任意商品(转)

今天,国外安全社区 Seclists.Org 里一名白帽子披露了微信支付官方 SDK 存在严重的 XXE 漏洞,可导致商家服务器被入侵,且黑客可避开真实支付通道,用虚假的支付通知来购买任意产品。 值得一...

鉴客
2018/07/04
1K
3

没有更多内容

加载失败,请刷新页面

加载更多

Docker 可视化管理 portainer

官网安装指南: https://portainer.readthedocs.io/en/latest/deployment.html docker-compose.yml 位置,下载地址:https://downloads.portainer.io/docker-compose.yml...

Moks角木
45分钟前
5
0
Spring Security 实战干货:必须掌握的一些内置 Filter

1. 前言 上一文我们使用 Spring Security 实现了各种登录聚合的场面。其中我们是通过在 UsernamePasswordAuthenticationFilter 之前一个自定义的过滤器实现的。我怎么知道自定义过滤器要加在...

码农小胖哥
48分钟前
7
0
常见分布式事务解决方案

1 微服务的发展 微服务倡导将复杂的单体应用拆分为若干个功能简单、松耦合的服务,这样可以降低开发难度、增强扩展性、便于敏捷开发。当前被越来越多的开发者推崇,很多互联网行业巨头、开源...

asdf08442a
48分钟前
3
0
influxdb continuous queries(cq)从入门到放弃

从前一篇influxdb的文章prometheus基于influxdb的监控数据持久化存储方案完成之后,就一直在折腾influxdb发布测试和生产环境的问题,经过接近2个月的验证,最终发现使用influxdb自带cq的方案...

狗陈
59分钟前
7
0
7.线程通信

在现实生活中,如果一个人团队正在共同完成任务,那么他们之间应该有通信,以便正确完成任务。 同样的比喻也适用于线程。 在编程中,要减少处理器的理想时间,我们创建了多个线程,并为每个线...

Eappo_Geng
今天
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部