没有合适的资源？快使用搜索试试~ 我知道了~

文库首页后端Java10种常见的安全漏洞问题.docx

10种常见的安全漏洞问题.docx

安全测试

需积分: 2 0 下载量 187 浏览量 2023-11-13 15:23:16 上传评论收藏 194KB DOCX 举报

温馨提示

试读

17页

我们日常开发中，很多小伙伴容易忽视安全漏洞问题，认为只要正常实现业务逻辑就可以了。其实，安全性才是最重要的。本文将跟大家一起学习常见的安全漏洞问题，希望对大家有帮助哈。

资源推荐

资源详情

资源评论

10 种常见的安全漏洞问题

前言

我们日常开发中，很多小伙伴容易忽视安全漏洞问题，

认为只要正常实现业务逻辑就可以了。其实，安全性才

是最重要的。本文将跟大家一起学习常见的安全漏洞问

题，希望对大家有帮助哈。

1. SQL 注入

1.1 什么是 SQL 注入

S Q L 注入是一种代码注入技术，一般被应用于攻击

w e b 应用程序。它通过在 w e b 应用接口传入一些特殊

参数字符，来欺骗应用服务器，执行恶意的 S Q L 命令，

以达到非法获取系统信息的目的。它目前是黑客对数据

库进行攻击的最常用手段之一。

1.2 SQL 注入是如何攻击的

举个常见的业务场景：在 w e b 表单搜索框输入员工名

字，然后后台查询出对应名字的员工。

这种场景下，一般都是前端页面把一个名字参数 n a m e

传到后台，然后后台通过 S Q L 把结果查询出来。

name = "田螺"; //前端传过来的

SQL= "select * from staff where name=" + name; //根据前端传过来的 name 参数，查

询数据库员工表 staff

因为 S Q L 是直接拼接的，如果我们完全信任前端传的

参数的话。假如前端传这么一个参数时 ' ' o r ' 1 ' = ' 1 ' ，

S Q L 就变成酱紫的啦。

select * from staff where name='' or '1'='1';

这个 S Q L 会把所有的员工信息全都查出来了，酱紫请

求用户已经越权啦。请求者可以获取所有员工的信息，

其他用户信息已经暴露了。

1.3 如何预防 SQL 注入问题

1.3.1 使用 #{} 而不是 ${}

在 M y B a t i s 中 , 使用 # { } 而不是 $ { } ，可以很大程度防止

s q l 注入。

★

� 因为#{}是一个参数占位符，对于字符串类型，会自动加上""，其他类型不加。

由于 Mybatis 采用预编译，其后的参数不会再进行 SQL 编译，所以一定程

度上防止 SQL 注入。

� ${}是一个简单的字符串替换，字符串是什么，就会解析成什么，存在 SQL

注入风险。

”

1.3.2 不要暴露一些不必要的日志或者安全信息，比如避免直接响

应一些 sql 异常信息

如果 S Q L 发生异常了，不要把这些信息暴露响应给用

户，可以自定义异常进行响应。

1.3.3 不相信任何外部输入参数，过滤参数中含有的一些数据库关

键词

可以加个参数校验过滤的方法，过滤 u n i o n ， o r 等数据

库关键词。

1.3.4 适当的权限控制

在你查询信息时，先校验下当前用户是否有这个权限。

比如说，实现代码的时候，可以让用户多传一个企业 i d

什么的，或者获取当前用户的 s e s s i o n 信息等，在查询

前，先校验一下当前用户是否是这个企业下的等等，是

的话才有这个查询员工的权限。

2. JSON 反序列化漏洞——如 Fastjson 安全漏洞

2.1 什么是 JSON 序列化，JSON 反序列化

� 序列化：把对象转换为字节序列的过程。

� 反序列：把字节序列恢复为 Java 对象的过程。

J s o n 序列化就是将对象转换成 J s o n 格式的字符串，

J S O N 反序列化就是 J s o n 串转换成对象。

2.2 JSON 反序列化漏洞是如何被攻击

不安全的反序列化可以导致远程代码执行、重放攻击、

注入攻击或特权升级攻击。之前 F a s t j s o n 频繁爆出安

全漏洞，我们现在分析 f a s t j s o n 1 . 2 . 2 4 版本的一个反

序列化漏洞吧，这个漏洞比较常见的利用手法就是通过

j n d i 注入的方式实现 R C E 。

我们先来看 f a s t j s o n 一个反序列化的简单例子：

public class User {

private String name;

private int age;

public String getName() {

return name;

}

public void setName(String name) {

System.out.println("调用了 name 方法");

剩余16页未读，继续阅读

评论收藏

内容反馈

资源评论

资源反馈

评论星级较低，若资源使用遇到问题可联系上传者，3个工作日内问题未解决可申请退款~

Lifeng666111

粉丝: 10
资源: 2

上传资源快速赚钱

我的内容管理展开

我的资源快来上传第一个资源

我的收益

登录查看自己的收益

我的积分登录查看自己的积分

我的C币登录后查看C币余额

我的收藏

我的下载

下载帮助

前往需求广场，查看用户热搜

10种常见的安全漏洞问题.docx

常见WEB安全漏洞及整改建议.docx

Stickler:一组旨在检测常见安全漏洞和其他潜在问题的简单源代码扫描程序和配置工具-Source code collection

(完整版)系统运维管理-信息安全漏洞管理规定.docx

计算机系统安全漏洞分析.docx

基于深度学习的软件安全漏洞挖掘.docx

Fuzzing-模糊测试--强制性安全漏洞发掘.docx

系统运维管理-信息安全漏洞管理规定.docx

电力系统信息安全漏洞运维管理探究 (2).docx

企业安全漏洞管理解决方案.docx

电力系统信息安全漏洞运维管理探究.docx

网络安全漏洞及解决.docx

Wi-Fi安全漏洞.docx

堵住孩子身边的安全漏洞.docx

AndroidWebView安全漏洞解决方案.docx

局域网内安全漏洞及其防护措施.docx

计算机病毒防范和安全漏洞检测制度.docx

(最新整理)东软信息安全管理办法考试试卷(2019).docx

2021-0525_安全漏洞管理制度.docx

常见漏洞及其及解决方法.docx

安卓期末大作业（AndroidStudio开发），垃圾分类助手app，分为前台后台，代码有注释，均能正常运行

Notepad++安装包

SwitchHosts

微信小程序源码-合集1.rar

2024北森能力测评题库.7z

jdk-11-windows-x64.zip

ruoyi-vue-pro 芋道源码项目的表结构

Java面试八股文2023最新版

ruoyi-vue-pro开发指南PDF下载

最新资源