版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第32讲|如何写出安全的Java2018-07-19朗读人 10′31′′|在上一讲中,我们已经初步接触了Java安全,今天一起探讨Java开发中可能影响JavaJavaJava这个问题可能有点宽泛,我们可以用特定类型的安全风险为例,如服务(DoS),分DoS是一种常见的网络,有人也称其为“洪水”。最常见的表现是,利用大量机器发我认为,从Java语言的角度,更加需要重视的是程序级别的,也就是利用Java、JVM或应用程序的瑕疵,进行低成本的DoS,这也是想要写出安全的Java代码所必须考虑的。如果使用的是早期的JDK和Applet等技术,者构建合法但恶劣的程序就相对容易,例已经逐步退出历史舞台,在JDK9以后,相关模块就已经被移除。能时,就需要防范Zipbomb等特定。另外,Java利用而耗尽某类资源,这也算是可能的DoS来源。Java关于今天的问题,以典型的DoS作为切入点,将问题聚焦在Java开发中,我介绍了了对特定安全领域知识的,是要看面试者的Java编程基本功和知识的积累。Java题频发的热点场景,如Java序列化和反序列化。a,b,c都是intif(a+b<c)//}从语言特性来说,Java和JVM提供了很多基础性的改进,相比于传统的C、C++等语言,对这并不代表完全杜绝了问题,Java程序可能调用本地代码,也就是JNI技术,错误的数值可能导致C/C++层面的数据越界等问题,这是很的。if(aif(a<c–trytry业务代}catch(Exceptione)thrownewRuntimeException(hostname+port+“doesn’t}这段代码将敏感信息包含在异常消息中,试想,如果是一个Web应用,异常也没有良好的包装被探测;或者避免在发生coredump时,意外。transient反序列化中,建议在另外,在JDK9中,Java引入了过滤器机制,以保证反序列化过程中数据都要经过基本验证才然后通过环境变量灵活进行配置,更加具体的使用你可以参考ObjectInputFilter。头实现,尽量使用广泛验证过的工具、类库,不管是来自于JDK自身,还是Apache等第JavaJavaOpenJDKcodereviewOpenJDKOpenJDK(编译等)CI进入OpenJDK代码库。JDKJDK自身的也是个软件,难免会存在实现瑕疵,我们平时看到JDK更新的安全补丁,其实就是在修补这些。我最近还注意到,某大厂被曝出了使用的JDK版本存在序列化相关的。类似这种情况,大多数都是因为使用的JDK是较低版本,算是可以通过部署解决的问如果是安全敏感型产品,建议关注JDK在加方面的路线图,同样的标准也应用于其他语言今天我以DoS等典型方式为例,分析了其在Java平台上的特定表现,并从安全编码Java间”App内点击“极客Live”即可加入,今晚我们不见不散。精选留 在使用的场景中,比如用户/登录我使用char[]数组和验证,并在使用结束后,通过随机的字符覆盖掉char[] 期笑笑冰 期三木子 最近项目在改安全问题,主要遇到的有:QL注入,O流没有关闭,使用不安全Random,重定向rl没做检验,上传文件前后端没做文件大小类型校验。通过反射方式有方法。包含敏息,没有除GEPOST外P请等等作者回jdk新版 random升级很多,例如基于DRBG的实现,值得尝羊羊 错过了老师的live课,好可惜,不知道后面还有没有小粉 请问没赶上的怎么办,有之类的吗 老师,你好,那个c是负数,b是正数,c-b也可能溢出吧作者回对,所以我强调判断数值范围,具体看情况选王大 互联网一两 老师,能否就spring源码解读一下呢?非常王大
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 极端天气下海洋碳吸收
- 支抗传感的机器学习和人工智能方法
- 2024-2030年中国工业消防行业现状分析及行业投资前景与投资机会研究报告
- 2024-2030年中国少儿读物行业供需趋势及投资风险研究报告
- 疳积散的安全性与有效性
- 2024-2030年中国小型真空包装机行业市场现状分析及竞争格局与投资发展研究报告
- 2024-2030年中国富硒酵母行业营销策略与投资效益可行性研究报告
- 影响力测量-评估网红营销活动的效果
- 2024-2030年中国家用呼吸机市场经营风险与可持续发展建议报告
- 2024-2030年中国家用LED带行业市场发展趋势与前景展望战略分析报告
- DB12-T 1340-2024 高层住宅建筑灭火和应急疏散预案编制及演练导则
- 工业机器人自动化生产线改造合同
- 技改革新方法与实践理论考试题库-下(多选、判断题)
- 2024至2030年中国数字化慢病管理行业市场发展监测及投资战略咨询报告
- 美育-美即生活-1.3-美的类型-教案
- 消毒柜管理制度
- 印刷服务投标方案(技术方案)
- 环境及安全运行检查记录表(每月)
- 部编教材九年级历史(上)全册教案
- 二进制十进制八进制十六进制转换练习题
- 加气站拆除方案方案精编版
评论
0/150
提交评论