第32讲如何写出安全的java代码

第32讲|如何写出安全的Java2018-07-19朗读人 10′31′′|在上一讲中，我们已经初步接触了Java安全，今天一起探讨Java开发中可能影响JavaJavaJava这个问题可能有点宽泛，我们可以用特定类型的安全风险为例，如服务（DoS），分DoS是一种常见的网络，有人也称其为“洪水”。最常见的表现是，利用大量机器发我认为，从Java语言的角度，更加需要重视的是程序级别的，也就是利用Java、JVM或应用程序的瑕疵，进行低成本的DoS，这也是想要写出安全的Java代码所必须考虑的。如果使用的是早期的JDK和Applet等技术，者构建合法但恶劣的程序就相对容易，例已经逐步退出历史舞台，在JDK9以后，相关模块就已经被移除。能时，就需要防范Zipbomb等特定。另外，Java利用而耗尽某类资源，这也算是可能的DoS来源。Java关于今天的问题，以典型的DoS作为切入点，将问题聚焦在Java开发中，我介绍了了对特定安全领域知识的，是要看面试者的Java编程基本功和知识的积累。Java题频发的热点场景，如Java序列化和反序列化。a,b,c都是intif(a+b<c)//}从语言特性来说，Java和JVM提供了很多基础性的改进，相比于传统的C、C++等语言，对这并不代表完全杜绝了问题，Java程序可能调用本地代码，也就是JNI技术，错误的数值可能导致C/C++层面的数据越界等问题，这是很的。if(aif(a<c–trytry业务代}catch(Exceptione)thrownewRuntimeException(hostname+port+“doesn’t}这段代码将敏感信息包含在异常消息中，试想，如果是一个Web应用，异常也没有良好的包装被探测；或者避免在发生coredump时，意外。transient反序列化中，建议在另外，在JDK9中，Java引入了过滤器机制，以保证反序列化过程中数据都要经过基本验证才然后通过环境变量灵活进行配置，更加具体的使用你可以参考ObjectInputFilter。头实现，尽量使用广泛验证过的工具、类库，不管是来自于JDK自身，还是Apache等第JavaJavaOpenJDKcodereviewOpenJDKOpenJDK（编译等）CI进入OpenJDK代码库。JDKJDK自身的也是个软件，难免会存在实现瑕疵，我们平时看到JDK更新的安全补丁，其实就是在修补这些。我最近还注意到，某大厂被曝出了使用的JDK版本存在序列化相关的。类似这种情况，大多数都是因为使用的JDK是较低版本，算是可以通过部署解决的问如果是安全敏感型产品，建议关注JDK在加方面的路线图，同样的标准也应用于其他语言今天我以DoS等典型方式为例，分析了其在Java平台上的特定表现，并从安全编码Java间”App内点击“极客Live”即可加入，今晚我们不见不散。精选留 在使用的场景中，比如用户/登录我使用char[]数组和验证，并在使用结束后，通过随机的字符覆盖掉char[] 期笑笑冰 期三木子 最近项目在改安全问题，主要遇到的有：QL注入，O流没有关闭，使用不安全Random，重定向rl没做检验，上传文件前后端没做文件大小类型校验。通过反射方式有方法。包含敏息，没有除GEPOST外P请等等作者回jdk新版 random升级很多，例如基于DRBG的实现，值得尝羊羊 错过了老师的live课，好可惜，不知道后面还有没有小粉 请问没赶上的怎么办，有之类的吗 老师，你好，那个c是负数，b是正数，c-b也可能溢出吧作者回对，所以我强调判断数值范围，具体看情况选王大 互联网一两 老师，能否就spring源码解读一下呢？非常王大