《阿里巴巴 Java 开发手册》涉及安全部分讲解

本贴最后更新于 2365 天前,其中的信息可能已经天翻地覆

《阿里巴巴 Java 开发手册》可以作为编码风格、规范、要约的最佳实践,在阅读过程中,有一部分质量方面的规范涉及安全,提取出来分享下。
0.【推荐】类成员与方法访问控制从严
java 的访问控制可以通过 private、protect 关键字,避免被外部反射机制调用实现。
1) 如果不允许外部直接通过 new 来创建对象,那么构造方法必须是 private。
如果构造方法是 private,则外部 new 时,编译器检查为 The constructor PrivateTool() is not visible,需要设置为一定的权限,default 则为 package 访问权限

public class PrivateTool {

private PrivateTool() {

// TODO Auto-generated constructor stub

}

}

2) 工具类不允许有 public 或 default 构造方法。
这样的工具类不够优雅
3) 类非 static 成员变量并且与子类共享,必须是 protected。
保持类与子类的成员变量的权限一致
4) 类非 static 成员变量并且仅在本类使用,必须是 private。
5) 类 static 成员变量如果仅在本类使用,必须是 private。
6) 若是 static 成员变量,必须考虑是否为 final。
7)类成员方法只供类内部调用,必须是 private。
8) 类成员方法只对继承类公开,那么限制为 protected。

以上比较详细的说明了关键字的使用方法。

  1. 【推荐】避免 Random 实例被多线程使用,虽然共享该实例是线程安全的,但会因竞争同一 seed 导致的性能下降。
    java.util.Random 的实例或者 Math.random()的 seed 唯一(),来自于系统时间的通过线性同余公式产生,所以在获取大量的值时,攻击者可以预测 seed 值,继而计算出随机数。推荐使用 java.security.SecureRandom

  2. 【推荐】在并发场景下,通过双重检查锁(double-checked locking)实现延迟初始化的优 化问题隐患(可参考 The "Double-Checked Locking is Broken" Declaration),推荐解 决方案中较为简单一种(适用于 JDK5 及以上版本),将目标属性声明为 volatile 型*
    参考 https://race604.com/java-double-checked-singleton/?from=timeline

  3. 【推荐】接口入参保护,这种场景常见的是用于做批量操作的接口。
    对接口入参必须进行校验,包括对外提供的开放接口,不管是 RPC/API/HTTP 接口。敏感权限入口。
    【强制】对 trace/debug/info 级别的日志输出,必须使用条件输出形式或者使用占位符的方 式。
    日志系统不使用占位符的话,可能发生 CRLF 注入的风险。

  4. 【参考】可以使用 warn 日志级别来记录用户输入参数错误的情况,避免用户投诉时,无所适 从。注意日志输出的级别,error 级别只记录系统逻辑出错、异常等重要的错误信息。如非必 要,请不要在此场景打出 error 级别。
    考虑到 twitter 的案例,遵循合法合规要求,需要避免在日志中记录银行卡、身份证、密码、token、cookie 等敏感信息。参考案例:http://www.anquan.us/static/bugs/wooyun-2014-055359.html

  5. 安全规约
    【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。
    目前的订单越权、遍历等 web 安全问题增多,需要对与此类平行权限问题予以重点考虑。

  6. 【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。
    同时也需要对打码字段定义统一的标准,如果 A 应用对打码 158****9119,而 B 应用只显示前 7 位,称为打码不严,也是一种信息安全隐患。

  7. 【强制】用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入, 禁止字符串拼接 SQL 访问数据库。
    参数绑定是 ORM 的说法,可以通过强制类型语言的特性避免一些恶意输入,底层采用 JDBC 的 PreparedStatement 预定义 sql 功能,本意是为了提高效率,因为 mysql 给字符串转移,所以达到了防止 sql 注入的目的,参考 https://blog.csdn.net/xieyuooo/article/details/10732375?utm_source=itdadao&utm_medium=referral

  8. 【强制】用户请求传入的任何参数必须做有效性验证。 说明:忽略参数校验可能导致:  page size 过大导致内存溢出  恶意 order by 导致数据库慢查询  任意重定向  SQL 注入  反序列化注入  正则输入源串拒绝服务 ReDoS 说明:Java 代码用正则来验证客户端的输入,有些正则写法验证普通用户输入没有问题, 但是如果攻击人员使用的是特殊构造的字符串来验证,有可能导致死循环的结果。
    攻击人员的思路同开发迥然不同,会考虑破坏系统机密性、完整性、可用性的恶意触发点。通过污点分析的技术判断代码污染源即是考虑到一切来源于用户的输入都是不可信的。

  9. 【强制】禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据。
    实际使用中,可以使用 json 格式工具类往页面输出内容。xss 的场景很复杂,采用过滤和转义手段时,要采用组织内部的安全 api 或者专业的 esapi,避免自己实现。

  10. 【强制】表单、AJAX 提交必须执行 CSRF 安全过滤
    csrf、cors 跨域资源配置不当的安全问题逐步增多,目前对于表单提交的 csrf 需要强烈关注,其实 login csrf,查询、删除时的 csrf 也需要适当处理。

  11. 【强制】在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放限制, 如数量限制、疲劳度控制、验证码校验,避免被滥刷、资损。
    验证码可以在短信网关限制单人单天不超过一定的次数,通过要建立短信模板,避免攻击者越权自定义短信内容带来安全风险。验证码可以采用 6 位数字 + 字母的组合,并及时销毁。

  12. 【推荐】发贴、评论、发送即时消息等用户生成内容的场景必须实现防刷、文本内容违禁词过滤等风控策略。
    文本、图片等内容安全已经有了多种开放服务,可以快速接入保证风控效果。

  13. **【强制】sql.xml 配置参数使用:#{},#param# 不要使用 ${} 此种方式容易出现 SQL 注入。**
    实践中遇到的问题是有业务会模糊查询、动态 sql,这种情况需要进行过滤。

  • 安全

    安全永远都不是一个小问题。

    199 引用 • 816 回帖 • 1 关注
  • Java

    Java 是一种可以撰写跨平台应用软件的面向对象的程序设计语言,是由 Sun Microsystems 公司于 1995 年 5 月推出的。Java 技术具有卓越的通用性、高效性、平台移植性和安全性。

    3187 引用 • 8213 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • SVN

    SVN 是 Subversion 的简称,是一个开放源代码的版本控制系统,相较于 RCS、CVS,它采用了分支管理系统,它的设计目标就是取代 CVS。

    29 引用 • 98 回帖 • 680 关注
  • 设计模式

    设计模式(Design pattern)代表了最佳的实践,通常被有经验的面向对象的软件开发人员所采用。设计模式是软件开发人员在软件开发过程中面临的一般问题的解决方案。这些解决方案是众多软件开发人员经过相当长的一段时间的试验和错误总结出来的。

    200 引用 • 120 回帖 • 1 关注
  • V2EX

    V2EX 是创意工作者们的社区。这里目前汇聚了超过 400,000 名主要来自互联网行业、游戏行业和媒体行业的创意工作者。V2EX 希望能够成为创意工作者们的生活和事业的一部分。

    17 引用 • 236 回帖 • 328 关注
  • OkHttp

    OkHttp 是一款 HTTP & HTTP/2 客户端库,专为 Android 和 Java 应用打造。

    16 引用 • 6 回帖 • 62 关注
  • jsoup

    jsoup 是一款 Java 的 HTML 解析器,可直接解析某个 URL 地址、HTML 文本内容。它提供了一套非常省力的 API,可通过 DOM,CSS 以及类似于 jQuery 的操作方法来取出和操作数据。

    6 引用 • 1 回帖 • 476 关注
  • V2Ray
    1 引用 • 15 回帖 • 1 关注
  • 创造

    你创造的作品可能会帮助到很多人,如果是开源项目的话就更赞了!

    179 引用 • 995 回帖
  • 支付宝

    支付宝是全球领先的独立第三方支付平台,致力于为广大用户提供安全快速的电子支付/网上支付/安全支付/手机支付体验,及转账收款/水电煤缴费/信用卡还款/AA 收款等生活服务应用。

    29 引用 • 347 回帖
  • IBM

    IBM(国际商业机器公司)或万国商业机器公司,简称 IBM(International Business Machines Corporation),总公司在纽约州阿蒙克市。1911 年托马斯·沃森创立于美国,是全球最大的信息技术和业务解决方案公司,拥有全球雇员 30 多万人,业务遍及 160 多个国家和地区。

    17 引用 • 53 回帖 • 136 关注
  • Facebook

    Facebook 是一个联系朋友的社交工具。大家可以通过它和朋友、同事、同学以及周围的人保持互动交流,分享无限上传的图片,发布链接和视频,更可以增进对朋友的了解。

    4 引用 • 15 回帖 • 453 关注
  • WebClipper

    Web Clipper 是一款浏览器剪藏扩展,它可以帮助你把网页内容剪藏到本地。

    3 引用 • 9 回帖
  • 智能合约

    智能合约(Smart contract)是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。智能合约概念于 1994 年由 Nick Szabo 首次提出。

    1 引用 • 11 回帖 • 4 关注
  • 房星科技

    房星网,我们不和没有钱的程序员谈理想,我们要让程序员又有理想又有钱。我们有雄厚的房地产行业线下资源,遍布昆明全城的 100 家门店、四千地产经纪人是我们坚实的后盾。

    6 引用 • 141 回帖 • 585 关注
  • 外包

    有空闲时间是接外包好呢还是学习好呢?

    26 引用 • 232 回帖 • 2 关注
  • OAuth

    OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 oAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 oAuth 是安全的。oAuth 是 Open Authorization 的简写。

    36 引用 • 103 回帖 • 9 关注
  • Openfire

    Openfire 是开源的、基于可拓展通讯和表示协议 (XMPP)、采用 Java 编程语言开发的实时协作服务器。Openfire 的效率很高,单台服务器可支持上万并发用户。

    6 引用 • 7 回帖 • 94 关注
  • 自由行
    11 关注
  • Windows

    Microsoft Windows 是美国微软公司研发的一套操作系统,它问世于 1985 年,起初仅仅是 Microsoft-DOS 模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家户户人们最喜爱的操作系统。

    222 引用 • 473 回帖
  • Tomcat

    Tomcat 最早是由 Sun Microsystems 开发的一个 Servlet 容器,在 1999 年被捐献给 ASF(Apache Software Foundation),隶属于 Jakarta 项目,现在已经独立为一个顶级项目。Tomcat 主要实现了 JavaEE 中的 Servlet、JSP 规范,同时也提供 HTTP 服务,是市场上非常流行的 Java Web 容器。

    162 引用 • 529 回帖
  • 运维

    互联网运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。

    149 引用 • 257 回帖
  • Log4j

    Log4j 是 Apache 开源的一款使用广泛的 Java 日志组件。

    20 引用 • 18 回帖 • 30 关注
  • CongSec

    本标签主要用于分享网络空间安全专业的学习笔记

    1 引用 • 1 回帖 • 9 关注
  • 百度

    百度(Nasdaq:BIDU)是全球最大的中文搜索引擎、最大的中文网站。2000 年 1 月由李彦宏创立于北京中关村,致力于向人们提供“简单,可依赖”的信息获取方式。“百度”二字源于中国宋朝词人辛弃疾的《青玉案·元夕》词句“众里寻他千百度”,象征着百度对中文信息检索技术的执著追求。

    63 引用 • 785 回帖 • 177 关注
  • Hexo

    Hexo 是一款快速、简洁且高效的博客框架,使用 Node.js 编写。

    21 引用 • 140 回帖 • 1 关注
  • SQLite

    SQLite 是一个进程内的库,实现了自给自足的、无服务器的、零配置的、事务性的 SQL 数据库引擎。SQLite 是全世界使用最为广泛的数据库引擎。

    5 引用 • 7 回帖
  • jsDelivr

    jsDelivr 是一个开源的 CDN 服务,可为 npm 包、GitHub 仓库提供免费、快速并且可靠的全球 CDN 加速服务。

    5 引用 • 31 回帖 • 58 关注
  • SOHO

    为成为自由职业者在家办公而努力吧!

    7 引用 • 55 回帖 • 18 关注