JAVA安全编码 - Defense.One

JAVA安全编码

DefenseOne

Author：深信服安全BG深圳专家团队

目录

一、 SQL注入 3

普通查询 3
like查询 3
in语句 4
Order by /group by 语句 4
Hibernate框架 5
代码审计技巧 6
JAVA中常见数据库操作API 6

二、 XSS漏洞 12

JSP文件out.println 12
Controller返回字符串 14
XSS过滤器 15
代码审计技巧 21

三、 XXE漏洞 22

SAXReader类 22
常见XML处理接口 23
代码审计技巧 25

四、 URL跳转 26

常见URL跳转漏洞 26
代码审计技巧 27

五、反序列化漏洞 28

JAVA反序列化漏洞 28
XML反序列化漏洞 29
代码审计技巧 29

六、命令注入 30

Runtime.getRuntime().exec() 30
代码审计技巧 31

七、路径安全 32

常见路径安全 32
代码审计技巧 33

八、文件上传 34

Apache tika 34
代码审计技巧 34

九、 CSRF 36

CSRF漏洞修复思路 36
代码审计技巧 39

十、越权漏洞 40

平行越权 40
垂直越权 41
代码审计技巧 42

java.pdf

828kB