软件应用程序安全开发指南(SDLC)(13)
2023-06-18 来源:飞速影视
3.4.JAVA安全开发要求
JAVA语言安全规范参考OWASPTOP10要求,本指南列举了常见的
JAVA开发安全要求。
3.4.1.防范跨站脚本(XSS)
跨站脚本是最普遍的Web应用安全漏洞。当应用程序在发送给浏览器
的页面中包含用户提供的数据,但没有经过适当验证或转译,就容易导致跨站脚本漏洞。
攻击者能在受害者浏览器中执行脚本以劫持用户会话、危害网站、插入恶意内容和重定向用户等。
已知三种著名跨站漏洞是:1)存储式;2)反射式;3)基于DOM。
反射式跨站脚本通过测试或代码分析很容易找到。
防范措施:
1、 验证输入
检查每个输入的有效性,主要检查输入类型和数据的长度。
2、 编码输出
对验证输入的另一面就是编码输出。编码输出是指确保字符被视为数
据,而不是作为HTML元字符被浏览器解析。这些技术定义一些特殊的"转
义"字符,没有正确转义的数据它仍然会在浏览器中正确解析。编码输出
只是让浏览器知道数据是不是要被解析,达到攻击无法实现的目的。需要编码的部分:HTML实体、HTML属性、JavaScript、CSS、URL。
3.4.2.防范SQL注入
简单来说,注入往往是应用程序缺少对输入进行安全性检查所引起的,
攻击者把一些包含指令的数据发送给解释器,解释器把收到的数据转换成指
令执行。注入漏洞十分普遍,通常能在SQL查询、LDAP查询、Xpath查询、
OS命令、程序参数等中出现。
注入能导致数据丢失或数据破坏、缺乏可审计性或是拒绝服务,注入漏洞有时甚至能导致完全接管主机。
SQL注入包含了SQL注入、XPATH注入、LDAP注入、OS命令注入等。
3.4.3.防范恶意文件执行
恶意文件执行是一种能够威胁任何网站形式的漏洞,只要攻击者在具有
引入(include)功能程式的参数中修改参数内容,Web服务器便会引入恶意程序从而受到恶意文件执行漏洞攻击。
攻击者可利用恶意文件执行漏洞进行攻击取得Web服务器控制权,进
行不法利益或获取经济利益。
3.4.4.不安全的直接对象引用
所谓"不安全的对象直接引用",即Insecuredirectobjectreferences,意
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号