代码漏洞

最新推荐文章于 2025-04-04 10:32:59 发布
原创 最新推荐文章于 2025-04-04 10:32:59 发布 · 4.1k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全 #java
本文详细介绍了十个常见的代码安全漏洞,包括SQL注入、XML外部实体注入、重定向漏洞等,逐一分析风险并提出相应的安全建议和解决方法,旨在提升系统的安全性。

代码漏洞

这里是我在工作中遇到过的一些存在而且不会注意的编码漏洞, 会造成系统的不安全性, 这里将会从漏洞风险由高到低一一介绍总结以下

1. SQL 注入漏洞 (高等风险)

  • 风险分析

    • SQL 注入式一种数据库攻击手段, 攻击者通过向应用程序提交恶意代码来改变原来 SQL 语句的含义, 进而执行任意 SQL 命令, 达到入侵数据库乃至操作系统的目的

  • 安全建议

    • 在入口文件处添加 SQL 过滤器, 直接拦截过滤特殊字符

  • 处理方式

    • 增加全局过滤器
    • 在 配置文件 web.xml 中注册
    import java.io.IOException;
import java.util.Enumeration;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.Filter;
import javax.servlet.http.HttpServlet;
/**
 * @Author: 九千七
 * @date: 2021/2/3 17:12
 * @description: 增加 SQL 注入过滤器, 过滤所有请求
 */
/*
 *  通过过滤器过滤SQL注入特殊字符
 */
@SuppressWarnings({"rawtypes", "JavaDoc"})
public  class InjectFilter extends HttpServlet implements Filter {

    private static final String failPage = "ErrorHandle.jsp";     //发生注入时,跳转页面, 此处为你自己项目中定义的错误界面

    public void doFilter(ServletRequest request,ServletResponse response,
                         FilterChain filterchain)throws IOException, ServletException {
        //判断是否有注入攻击字符
        HttpServletRequest req = (HttpServletRequest) request;
        String inj = injectInput(req);
        if (!inj.equals("")) {
            request.getRequestDispatcher(failPage).forward(request, response);
        } else {
            // 传递控制到下一个过滤器
            filterchain.doFilter(request, response);
        }
    }
    
    /**
     * 判断request中是否含有注入攻击字符
     * @param request
     * @return inj
     */
    public String injectInput(ServletRequest request) {

        Enumeration e = request.getParameterNames();
        String attributeName;
        String[] attributeValues;
        String inj = "";
        while (e.hasMoreElements()) {
            attributeName = (String)e.nextElement();
            //不对密码信息进行过滤,一般密码中可以包含特殊字符
            if(attributeName.equalsIgnoreCase("userPassword")||attributeName.equalsIgnoreCase("confirmPassword")|| attributeName.equalsIgnoreCase("PASSWORD")
                    ||attributeName.equalsIgnoreCase("PASSWORD2")||attributeName.equalsIgnoreCase("valiPassword")){
                continue;
            }
            attributeValues = request.getParameterValues(attributeName);
            for(String attributeValue : attributeValues) {

                if (attributeValue == null || attributeValue.equals(""))
                    continue;
                inj = injectChar(attributeValue);

                if (!inj.equals("")) {
                    return inj;
                }
            }
        }
        return inj;
    }
    
    /**
     * 判断字符串中是否含有注入攻击字符
     * @param str
     * @return s
     */
    public String injectChar(String str) {
        String inj_str = ") * % < > & \' = or ";
        String[] inj_stra = inj_str.split(" ");

        for (String s : inj_stra) {
            if (str.contains(s)) {
                return s;
            }
        }
        return "";
    }
    
    @Override
    public void init(FilterConfig filterConfig){
        // TODO Auto-generated method stub
        // System.out.println("----注入过滤器初始化----");
    }
}

    <filter>
		<filter-name>InjectFilter</filter-name>
		<filter-class>com.ztesoft.resmaster.sys.InjectFilter</filter-class>
	</filter>
	
	<filter-mapping>
		<filter-name>InjectFilter</filter-name>
		<!--“/*”表示拦截所有的请求 -->
		<url-pattern>/*</url-pattern>
	</filter-mapping>
2. XML 外部实体注入 (高等风险)

  • 漏洞分析

    • 通过本次代码安全审计发现,系统允许引用外部实体易造成允许引用xml外部实体注入

  • 安全建议

    • 使用开发语言提供的禁用外部实体的方法:

      DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

    • 过滤用户提交的XML数据,关键词:<!DOCTYPE 和 <!ENTITY,或者,SYSTEM 和 PUBLIC

  • 解决方法

    • DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
		factory.setExpandEntityReferences(false);
        DocumentBuilder builder = factory.newDocumentBuilder();
        org.w3c.dom.Document doc = builder.parse(new InputSource(new StringReader(inxml)));   
        org.w3c.dom.Element root = doc.getDocumentElement();
3 . 重定向漏洞 (高等风险)
  • 漏洞分析
    • 应用程序允许未验证的用户输入控制重定向中的URL,可能会导致攻击者发动钓鱼攻击
  • 安全建议
    • 防止重定向漏洞的方法是创建一份合法URL列表,用户只能从中进行选择,进行重定向操作
  • 解决方法
    • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-auvGgBEu-1615174430560)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20210219165202870.png)]
4 . 硬编码 (中等风险)

  • 漏洞分析

    • 程序中采用硬编码方式处理密码,一方面会降低系统安全性,另一方面不易于程序维护

  • 安全建议

    • 程序中所需密码应从配置文件中获取经过加密的密码值

  • 解决方法

    • 可以自己增加一个加密与解密函数, 然后将密码全部转换为加密的数据
    • 这里提供一个简单的加密与解密函数
    /**
 * @author: 九千七
 * @date: 2021/1/29 10:09
 * @description:
 */
public class DealPWD {
    public static String encrypt(String strpasswd) {
        StringBuffer ls_decrypt = new StringBuffer();
        //String ls_seed = "ZXT10LSZTESOFTRESMASTER";
        // 2010-05-21 modified by wanggp 密钥加长到64位,支持64位数据加密
        String ls_seed = "ZXT10LSZTESOFTRESMASTERBUSINESSOPERATIONSUPPORTSYSTEMRESMASTER30";
        for (int i = 0; i < strpasswd.length(); i++) {
            int j = strpasswd.charAt(i) + ls_seed.charAt(i) - 64;
            if (j >= 95) {
                j = j - 95;
            }
            ls_decrypt.append(String.valueOf((char) (j + 32)));
        }
        return ls_decrypt.toString();
    }
    /**解密函数
     *
     * @author
     * @get()
     * @return String
     *
     */
    public static String decrypt(String strpasswd) {
        StringBuffer ls_decrypt = new StringBuffer();
        //String ls_seed = "ZXT10LSZTESOFTRESMASTER";
        String ls_seed = "ZXT10LSZTESOFTRESMASTERBUSINESSOPERATIONSUPPORTSYSTEMRESMASTER30"; // 2010-05-21 modified by wanggp 密钥加长到64位,支持64位数据加密
        for (int i = 0; i < strpasswd.length(); i++) {
            int j = strpasswd.charAt(i) - ls_seed.charAt(i) + 95;
            if (j >= 95) {
                j = j - 95;
            }
            ls_decrypt.append(String.valueOf((char) (j + 32)));
        }
        return ls_decrypt.toString();
    }
}
5. 明文密码 (中等风险)
  • 漏洞分析
    • 配置文件中采用明文存储密码,将会降低系统安全性
  • 安全建议
    • 配置文件中的密码应进行加密存储
  • 解决方法
    • 即先采用自己的加密函数对配置文件中的密码进行加密, 然后在调用的地方使用解密函数进行解密, 解决了明文密码的漏洞
6. 不安全的随机数 (中等风险)
  • 漏洞分析
    • Java API 中提供了 java.util.Random 类实现 PRNG(),该 PRNG 是可移植和可重复的,如果两个 java.util.Random 类的实例使用相同的种子,会在所有 Java 实现中生成相同的数值序列
  • 安全建议
    • 在安全性要求较高的应用中,应使用更安全的随机数生成器,如java.security.SecureRandom类
  • 解决方法
7. 硬编码文件分隔符 (中)

  • 漏洞分析

    • 系统存在硬编码文件分隔符
    • 不同的操作系统使用不同的字符作为文件分隔符。例如,Windows系统使用"",而UNIX系统则使用"/"。应用程序需要在不同的平台上运行时,使用硬编码文件分隔符会导致应用程序逻辑执行错误,并有可能导致拒绝服务。

  • 安全建议

    • 不应使用硬编码文件分隔符,而应使用语言库提供的独立于平台的API。

      例如:针对示例代码的修改方法是:

      File file = new File(directoryName + File.separator + fileName);

  • 解决方法

    • File file = new File(directoryName + File.separator + fileName);
8. 不安全的哈希算法 (中等风险)
  • 漏洞分析
    • 在安全性要求较高的系统中,不应使用被业界公认的不安全的哈希算法(如MD2、MD4、MD5、SHA、SHA1等)来保证数据的完整性
  • 安全建议
    • 在安全性要求较高的系统中,应采用散列值>=224比特的SHA系列算法(如SHA-224、SHA-256、SHA-384和SHA-512)来保证敏感数据的完整性
  • 解决方法
    • 改用非对称加密处理数据
9. 路径篡改 (中等风险)

  • 漏洞分析

    • 可操作系统中可控变量来进行获取特定权限或指令操作等危险行为

  • 安全建议

    • 对用户输入的数据进行全面安全检查或过滤,尤其注意检查是否包含HTML特殊字符。这些检查或过滤必须在服务器端完成,建议过滤的常见危险字符如下:

      |(竖线符号)

      & (& 符号)

      ;(分号)

      $(美元符号)

      %(百分比符号)

      @(at 符号)

      '(单引号)

      "(引号)

      '(反斜杠转义单引号)

      "(反斜杠转义引号)

      <>(尖括号)

      ()(括号)

      +(加号)

      CR(回车符,ASCII 0x0d)

      LF(换行,ASCII 0x0a)

      ,(逗号)

      \(反斜杠)

      Eval方法

      Document

      Cookie

      Javascript

      Script

      onerror。

  • 解决方法

10. 无用的 main 方法 (低等风险)
  • 安全建议
    • 系统中存在无用的测试文件和方法,恶意攻击者可以利用这些信息为进一步攻击内网系统提供帮助
  • 解决方法
    • 建议删除测试文件和方法
软件代码漏洞风险等级
oscar999的专栏
07-09 1399
代码漏洞的风险等级通常根据漏洞的潜在影响、利用难易程度以及可能造成的损害程度来划分。不同的组织或机构可能会采用不同的标准或评分系统来评估漏洞的风险等级。
基于汇编代码和源代码融合的漏洞检测系统
阿航的博客
04-17 1396
基本定义:定义1(源代码切片)。源代码切片Si是一个语义相关的多行源代码的片段,表示为Si=(si1si2si3,…,sin),其中sij(1 ≤j≤n)是Si中的第j行。定义2(汇编代码切片)。汇编代码切片Di是一个语义相关的多行汇编代码片段,表示为Di=(di1di2di3,…,din),其中dij(1 ≤ j ≤ n)是Di中的第j行。该系统分为训练和测试两个阶段。源代码处理。根据漏洞候选特征提取源代码切片,添加标签。
XSS漏洞分析
qq_50646296的博客
07-28 1978
一个挖漏洞项目,可以将它的hook.js通过XSS的方法被存储到某个网站,然后那个网站只要访问这个页面信息,那么整个网站就被监控了。此时查看设备已经在线,可以看到已经拿到了服务端那里的cookie,并且可以任意修改网站的配置文件,危害十分巨大。XSS代码被存储到服务器上的数据库里的某张表的字段里,或者页面,或者某个上传文件里,此类型危害最大。里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而。利用我们所知道的各种黑魔法,向Web页面插入JS代码,让JS代码可以被浏览器执行,.
Java权限中遇到的问题汇总
邱慕夏 没有比脚更长的路,没有比人更高的山
08-30 4450
一直在做ITOOJava权限,做这一部分,一上来就遇到很多的问题,这些问题因为先前没有做过,有点心有余而力不足。问题很多,大致是一上来之后,看懂了就不觉得难了。 我将错误一直记录在我的onenote里面,为之后的学习提供资料,这些问题大致都是遇到了解决了,下回就没有问题了,做完之后一个感觉,这个项目封装的很不错,一个新手上来,并没有非多大的力气就能很快加入到项目中,而且项目有很好的封装性
void main(void) - the Wrong Thing
ilovejujube的博客
06-10 593
void main(void) - the Wrong Thing The newsgroup,comp.lang.c, is plagued by an almost continuous discussion of whether we can or cannot usevoidas a return type formain. The ANSI standard says “no”, which should be an end of it. However, a number of beg...
324、Vue学习笔记30 -【安全】 2020.04.21
youyouwuxin1234的博客
04-21 766
0、目录1、报告安全漏洞2、第一原则:永远不要使用不可信任的模板3、Vue 的安全措施3.1 HTML 内容3.2 Attribute 绑定4、潜在危险4.1 注入 HTML4.2 注入 URL4.3 注入样式4.4 注入 JavaScript5、最佳实践6、后端协作7、服务端渲染 (SSR)8、参考链接 1、报告安全漏洞 当我们收到一个安全漏洞报告,将给予其最高优先级,并由全职贡献者停下...
【xss漏洞】存储型XSS漏洞之钓鱼及键盘记录
土豆的博客
04-24 845
一、攻击方脚本代码     1. 钓鱼脚本 1.1.1 弹出伪造验证框脚本 <?php error_reporting(0); // var_dump($_SERVER); if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) { //发送...
5.管理代码漏洞
最新发布
ADbyCool的博客
04-04 352
5.管理代码漏洞
总结常见漏洞代码审计方法
2401_84466361的博客
05-28 2532
这篇文章主要是总结一下在安全工作中常见漏洞代码审计方法,以及修复方案,希望能对初学代码审计小伙伴们有所帮助,笔芯♥️。
常见的代码漏洞——关键词
战神/calmness的博客
10-16 3379
目录 描述 特征 常见的代码检测工具 常见的代码漏洞 描述 检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。 特征 常见的代码检测工具 1. Fortify SCA(Source Code Analysis) Fortify Software公司是一家总部位于美国硅谷,致力于提供应用软件安全开发工具和管理方案的厂商...
解决 Solidity 中的警告:“Return value of low-level calls not used”
2201_75798391的博客
01-22 588
在智能合约开发中,Solidity 编译器的警告信息是开发者的重要助手,它们能够帮助我们发现潜在的逻辑错误和安全隐患。今天,我们来探讨一个常见的警告:“Return value of low-level calls not used”,并提供解决方法。在 Solidity 开发中,低级调用是一个强大的工具,但也需要谨慎使用。通过检查返回值,我们可以确保合约在调用失败时能够正确处理错误,从而提高合约的安全性和可靠性。
XSS攻击的理解及防范
浮生离梦的博客
08-15 1206
1. XSS XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击,攻击者在目标网站上注入恶意代码,当被攻击者登陆网站时就会执行这些恶意代码,这些脚本可以读取 cookie,session tokens,或者其它敏感的网站信息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等 2. XSS 的本质 恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致...
System call return value
farmwang的专栏
07-26 541
The return value from a system call is placed in the EAX register. It is your job to check the value in the EAX register, especially for failure conditions. .section .bss .lcomm pid, 4 .lcomm uid, 4
GetParameterValue()的正确用法
赤道与北极
10-10 4760
GetParameterValue()GetParameterValue()方法要在IDataReader.Read()之前使用或是要在IDataReader.Close()后使用,否则在IDataReader.Read()中使用会得不到输出参数的值。IDataReader dr = db.ExecuteReader(dbcmd);if (dr.Read()){     G
PythonStudy——函数的返回值 The return value of the function
04-24 1039
# 在函数体中,通过return关键词返回函数的内部数据给外部"""# 一、作用# return作用:1.结束函数;2.将函数的内部数据返回给外部 def fn(): print(123) return # return可以直接结束函数的执行,所以return之下的语句永远不会执行 print(12345) fn() def func(): ...
对python类中__call__()和__getitem__()函数的简单理解
qq_44722189的博客
12-02 736
方法,那么实例 P 就可以以P[key]的形式取值,当实例对象做P[key]运算时, 就会去调用。对序列来说(通常是列表),键应该是0~n-1的整数,其中n为序列的长度。方法,那么该类的实例对象也将成为可调用对象。该对象被调用时,将执行。方法中设定的操作,如:赋值,修改内容,删除内容等。对映射来说(通常是字典),键可以是任何类型。方法,当对类的属性进行下标操作时,首先会被。首先python中双下划线方法被称为。这些都属于magic method。这个方法返回所给键对应的值。
FindBugs Report安全代码检查工具问题解析
热门推荐
兔子临死前的专栏
01-20 3万+
1、LI_LAZY_INIT_UPDATE_STATIC:Incorrect lazy initialization and update of static field Thismethod contains an unsynchronized lazy initialization of a static field. Afterthe field is set, the object st
getParameter()接收参数报错NullPointerException
我是你的橙子啊
04-25 1229
一个空格引发的“惨案”。 前期(我明明在表单里填数据了,为啥会是NPE呢) 在用getParameter()接收前端表单传过来的数据时报错NPE,刚好这个报错的地方是BigDecimal类型,我是第一次用这个类型,第一感觉是没用过这个类型,可能是String转BigDecimal时出错了,然后尝试强制转换,各种谷歌,连stackover的英文我都忍着看了!but,大约花了1h都没有解决,然后又搜索...
【python】__getiterm__理解
Graceying的博客
10-19 980
1. 什么是魔术方法 在Python中,所有以“__”双下划线包起来的方法,都统称为“Magic Method”,中文称『魔术方法』,例如类的初始化方法" __ init __"。 魔法方法是python内置方法,不需要主动调用,存在的目的是为了给python的解释器进行调用,几乎每个魔法方法都有一个对应的内置函数,或者运算符,当我们对这个对象使用这些函数或者运算符时就会调用类中的对应魔法方法,可以理解为重写这些python的内置函数。 基本的魔术方法看参考文章python魔法方法是什么 2. __ get
sql 注入漏洞
Venscor技术养成之路
04-21 1043
sql注入相关知识
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

§九千七§

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值