java代码漏洞检测,常见问题与修复建议

最新推荐文章于 2025-05-16 15:08:47 发布
最新推荐文章于 2025-05-16 15:08:47 发布
阅读量580 收藏 7
点赞数 4
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39789340/article/details/144157104
版权

前言

随着计算机应用的发展,网络安全问题日益成为大家关注的焦点。因此项目团队在交付项目时,客户方基于安全方面的考虑,代码审计已经是确保应用程序安全性的一种重要手段。
今天我们来聊一聊java代码检测,常见的代码漏洞及修复方案。

☆ 常见问题:
1.SQL注入
常见的方式有直接将用户的输入参数拼接SQL使用
SQL注入

2.文件上传
通过上传恶意文件执行恶意代码,或者恶意代码的文件
文件漏洞

3.XSS(跨站脚本攻击):未对用户输入进行充分过滤和转义,可能导致恶意脚本在用户端执行

4.数据库连接传参
直接通过JDBC获取链接:

public Connection amlConnection(String db) throws Exception {
	Connection conn = null;
        try {
            String DBDriver = env.getProperty("aml.db_connections." + db + ".driver-class-name");
            if(DBDriver != null && DBDriver.equals("dm.jdbc.driver.DmDriver")){
                //正确的驱动类型
            }else{
                throw new RuntimeException("驱动类型错误");
            }
            String DBUser = env.getProperty("aml.db_connections." + db + ".username");
            String DBPassword = env.getProperty("aml.db_connections." + db + ".password");
            String DBUrl = env.getProperty("aml.db_connections." + db + ".url");
            Class.forName(DBDriver);
            conn = DriverManager.getConnection(DBUrl, DBUser, DBPassword);
        } catch (Exception e) {
            log.error(e.getMessage());
            throw e;
        }
    return conn;
}

5、弱密码策略:用户使用弱密码容易导致密码被猜测或暴力破解。

6.日志伪造
日志伪造

☆ 解决方案:

1.使用预编译语句和参数化处理,从而避免直接将用户输入拼接到SQL语句中。
预编译

2.对上传文件进行严格校验,包括路径、文件类型、文件大小和内容

public static boolean checkFileName(String fileName){
		boolean result = fileName.contains("<")||fileName.contains(">")||fileName.contains("\"")||fileName.contains("*")||fileName.contains("..")
				||fileName.endsWith("\\")||fileName.contains("?")||fileName.contains(":")
				||fileName.contains("|")||fileName.endsWith(".dat")||fileName.endsWith(".sh");
		return result;
	}

	public static String fileCheck(MultipartFile file){
		// 验证文件是否为空
		if (file.isEmpty()) {
			return "上传文件不能为空";
		}

		// 获取文件名
		String originalFileName = file.getOriginalFilename();
		if (originalFileName == null || originalFileName.isEmpty()) {
			return "文件名无效";
		}

		// 检查文件大小
		long fileSize = file.getSize();
		if (fileSize > 10 * 1024 * 1024) { // 假设最大文件大小为10MB
			return "文件过大,最大允许10MB";
		}
		return null;
	}

3、输入过滤和输出转义:对用户输入的数据进行有效的过滤和验证,确保只接受合法且预期的数据。使用Web编程框架提供的安全API来进行输出转义,防止XSS攻击。
参数校验

  1. 采用连接池方式
package cn.com.dhcc.aml.config;

import cn.com.dhcc.aml.common.AmlBasicConstants;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.env.Environment;

import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.DriverManager;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Properties;
import java.util.Set;

@Configuration
@Slf4j
public class TaskexecConfiguration implements InitializingBean {
    @Autowired
    Environment env;

    @Autowired
    private DataSource dbDmDataSource;

    @Autowired
    private DataSource dbBasicDataSource;

    private static TaskexecConfiguration config = null;

    public static TaskexecConfiguration getConfig() {
        return config;
    }

    @Override
    public void afterPropertiesSet() throws Exception {
        config = this;
    }


    public Connection amlDmConnection(String db) throws Exception {
        Connection conn = null;
        try {
            conn = amlConnection(db);
        } catch (Exception e) {
            throw e;
        }
        return conn;
    }

    public Connection amlConnection(String db) throws Exception {
        // 验证 db 参数
        if (!isValidDb(db)) {
            throw new IllegalArgumentException("无效的数据库名称: " + db);
        }
        DataSource dataSource = getDataSource(db);
        Connection conn = dataSource.getConnection();
        return conn;
    }

    private DataSource getDataSource(String db) {
        switch (db) {
            case AmlBasicConstants.db_dm:
                return dbDmDataSource;
            case AmlBasicConstants.db_basic:
                return dbBasicDataSource;
            default:
                throw new IllegalArgumentException("无效的数据库名称: " + db);
        }
    }
    private static final Set<String> ALLOWED_DBS = new HashSet<>(Arrays.asList(AmlBasicConstants.db_dm, AmlBasicConstants.db_basic));
    private boolean isValidDb(String db) {
        // 检查 db 是否在白名单中
        return ALLOWED_DBS.contains(db);
    }
}

5、强密码策略:引导用户使用强密码,并在注册和重置密码时进行密码强度校验。密码应采用哈希算法进行加密存储,并定期要求用户更换密码。

6、敏感信息脱敏

点击 精彩内容,了解更多。

Java代码审计之命令执行漏洞
悦分享
08-02 1025
执行了ls&&结果报错,看显示结果发现过滤了&&,然后把&转编码发现还是会报错,但是从服务端代码来看并没有做参数的过滤。从代码中可以看出来程序只使用trim()方法对jdk进行了两遍的空格过滤,然后直接和后面拼接的命令一起执行。上面的代码显示jdk这个参数是从请求中获取的,看到这里已经能确定是个命令执行漏洞了,下面我们来利用这个漏洞。可以看到这里依次调用了3个命令执行的方法,如果命令都能成功执行的话,可以执行3次。进行代码审计时遇到一个比较典型命令执行漏洞,适合新手学习,给大家分享下整个过程。...
Java系统安全漏洞检测修复:7大秘籍,你掌握了几条?
java专栏
03-27 1481
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀在数字世界中,每一个代码都像是一个小小的城堡,而每个开发者都是这座城堡的守护者。然而,城堡的安全性并非总是坚不可摧,特别是在面对那些隐蔽而又狡猾的安全漏洞时。今天,我们将深入探讨Java在系统安全漏洞检测修复中的应用,帮助你成为一位真正的“代码卫士”,保护你的应用程序免受各种威胁。
Java代码漏洞检测-常见漏洞修复建议
dzqxwzoe的博客
05-29 3620
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Java代码审计 | 第十篇】命令执行漏洞成因、防范及审计思路
等风来
03-07 1298
注意,在 Java 中,尽管可以使用 Runtime.getRuntime().exec() 执行系统命令,但 PHP 不同的是,Java 会将传入到该函数的参数视为一个完整的字符串,而不会受到 Shell 特殊符号(如 &、;然而,在涉及 Runtime.exec() 类型的远程代码执行(RCE)时,如果需要反弹 Shell,则必须进行特殊处理。时,Java 会使用空格拆分字符串,并将其作为独立的参数传递给操作系统。如果必须执行系统命令,应尽量降低应用程序的权限,避免以高权限(如 root)运行。
java修复xss漏洞
weixin_43876557的博客
07-29 3691
JAVA修复XSS漏洞 方案一: 对于请求中是封装好的对象或者以属性名作为参数的都适用以下解决方案: 封装好的对象,如: 使用属性名作为参数,如: 以/updateRole和/addRole作为例子,这两个方法中都需要对前台输入的参数进行过滤。 1.添加过滤器 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConf
java恶意代码检测源码-Paper:网络安全技术和漏洞分析白皮书
06-05
java恶意代码检测源码 技术文章存档 Paper list: Talking About Exploit Writing Bypassing AntiVirus Detection for Malicious PDFs MBR病毒分析 使用bochs调试MBR 基于MBR的系统登录密码验证程序 PDF文件格式分析 恶意PDF文件解析思路 Win 7下定位kernel32.dll基址及shellcode编写 CVE-2009-0658漏洞分析 Firefox vulnerability(CVE-2011-0065 ) Bypassing DEP CVE-2009-4324漏洞分析 Flash XSS漏洞挖掘 BurpSuite工具使用经验 More Insights On The APT 慢速http拒绝服务攻击及防御方案 由交互式扫描联想到的实时漏洞感知方法 Recognizing C Code Constructs In Assembly SDL-软件安全设计初窥 AWVS AcuSensor功能分析 MobSF框架及源代码分析 PHP反序列化漏洞初窥 Struts S2-045
java 代码执行 export命令_F5 BIGIP 远程代码执行漏洞复现
weixin_39640444的博客
12-26 274
0x00 漏洞介绍F5 BIG-IP 是美国 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2020年7月1日,F5官方公布流量管理用户界面(TMUI)存在 前台远程执行代码(RCE)漏洞(CVE-2020-5902)。攻击者利用该漏洞,构造恶意请求,在未授权的情况下获得目标服务器的权限,实现远程代码执行。未授权的远程攻击者通过向该页面发送特制的请求...
JAVA代码漏洞测试工程LibrePlan源码下载
09-20
这个“JAVA代码漏洞测试工程LibrePlan源码下载”显然是针对LibrePlan源码的一个安全测试项目,旨在检查和修复可能存在的安全漏洞。 在深入研究LibrePlan源码之前,我们需要了解一些基本的Java编程和软件测试知识...
Java 安全漏洞扫描工具:如何快速发现和修复潜在问题?
最新发布
shrgegrb的博客
05-16 939
Java 安全漏洞扫描工具是保障应用安全的关键。常见的工具包括 SonarQube、OWASP Dependency-Check 和 SpotBugs。SonarQube 提供全面的代码质量分析,能够检测 SQL 注入、XSS 等漏洞;OWASP Dependency-Check 专注于依赖项安全,识别第三方库中的已知漏洞;SpotBugs 则通过字节码分析发现潜在问题。选择工具时需考虑项目规模、团队技术能力和漏洞数据库的及时性。使用这些工具时,开发者需进行安装配置、代码分析、报告解读和漏洞修复。例如,通过
发现一款牛逼的 IDEA 插件:检测代码漏洞,一键修复!(csdn)————程序.pdf
12-05
标题提及的是一款名为“MomoSec”的IntelliJ IDEA插件,它专注于Java项目的静态代码安全审计,能够帮助开发者在编码阶段发现潜在的安全风险,并提供一键修复功能。这款插件利用IDEA内置的Inspection机制对项目进行...
常见漏洞修复建议总结
李火火的安全圈
06-06 396
常见漏洞修复建议总结
java恶意代码检测源码-config:静态检测的配置文件
06-05
java恶意代码检测源码 前言 在团队Android项目开发过程中,难免会出现一些比较不容易发现,但是又比较低级的bug。而且因为每个开发人员的编码习惯不同,写出的代码也会有差异。为了保证团队开发中代码的规范以及尽量避免低级bug,我们往往需要一些工具来进行严格的检查。下面将介绍在项目中用到的四种插件 lint、findBugs、PMD、 CheckStyles 的功能和使用方式,以及如何将多个插件整合在一起,在方便使用的同时尽量做到项目工程解耦。 一、lint Lint是Android Studio提供的一个代码检测工具,通过它开发者不用运行或者写测试代码,就可以发现和纠正问题,优化代码结构。每个被检测到的问题,都会生成一条描述信息并指明相应的严重性级别,当然这个严重性级别我们也可以自己设置的。 检测范围 潜在的bug 可优化的代码 安全性 性能 可用性 可访问性 国际化 插件安装 Android Studio自带,无需安装。 插件使用 通过Gradle运行lint 在工程的根目录下运行相应的gradle task。 Windows gradle lint Linux 或者 MAC
java恶意代码检测源码-QualityDemo:质量演示
06-05
java恶意代码检测源码 #1.前言: 在我们平时项目开发中,经常会写一些不严谨的代码或者一些比较低级的错误代码,但是这些错误往往很难被发现,这样就导致了我们的项目中会隐藏了很多影响性能甚至是导致闪退的错误代码,于是许多响应的检测工具就出现了.在这里我就介绍一下我比较常用的几个检测工具吧 # #2.FindBugs 顾名思义,FindBugs是一个寻找bug的工具,更具体的说FindBugs是一个静态检测java代码的工具,可以找到代码中的一些潜在bug,比如说NullPointerException,或者是一些流或者数据库没有关闭的问题. ##2.1作用 检测范围 : 常见代码错误,序列化错误 可能导致错误的代码,如空指针引用 国际化相关问题:如错误的字符串转换 可能受到的恶意攻击,如访问权限修饰符的定义等 多线程的正确性:如多线程编程时常见的同步,线程调度问题。 运行时性能问题:如由变量定义,方法调用导致的代码低效问题 ##2.2使用方法 #####FindBugs在Android studio里面有个插件 正常安卓即可(不会安装插件的自己google) #####安装好插件之后重
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
java xss漏洞修复_全局存储型XSS漏洞修复
weixin_39916520的博客
02-24 2259
什么是XSS?人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而...
XSS攻击漏洞修复 java
一直梦见飞的路人涛
12-20 952
&lt;filter-name&gt;XssSqlFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.hzlh.filter.XssFilter&lt;/filter-class&gt; &lt;/filter&gt; &lt;filter-mapping&gt; &lt;filter-name&gt;XssSqlFilt
java xss漏洞修复_XSS漏洞修复方案 - zhang2xiang的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_33209661的博客
02-24 943
基本概念及解决办法比较典型的XSS攻击漏洞(Cascading Style Sheets, CSS),俗称跨站脚本攻击;解决办法:将特殊字符进行转义1、增加过滤器XssFilter.javapublic class XssFilter implements Filter {FilterConfig filterConfig = null;private List urlExclusion = nu...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值