Java编程安全漏洞之：数据或系统信息安全

2019独角兽企业重金招聘Python工程师标准>>>

Cleartext_Submission_of_Sensitive_Information

明文提交敏感数据，使用明文通信方式传输、提交敏感数据

修复建议

加密后再提交或使用加密的通信方式传输、提交敏感数据。

Use_of_Insufficiently_Random_Values

使用了不够随机的随机值

修复建议

使用足够随机的随机值，如使用java自带Random生成随机数，则可添加一定算法。

修复示例

如：

       public void Use_of_Insufficiently_Random_Values(){

              String rans = new Random().nextInt() + "";

       }

修复为：

       public void Use_of_Insufficiently_Random_Values_Fix(){

              String rans = new Random().nextDouble() + "";

       }

Use_of_a_One_Way_Hash_without_a_Salt

使用了没有添加盐值的单向散列函数

修复建议

添加盐值。

修复示例

如：

       public void Use_of_a_One_Way_Hash_without_a_Salt(){

              String text = "";

              String dtext = "";

              MessageDigest md = MessageDigest.getInstance("SHA");

              byte[] dbts = md.digest(text.getBytes());

              dtext = new String(dbts);

       }

修复为：

       public void Use_of_a_One_Way_Hash_without_a_Salt_Fix(){

              String text = "";

              String dtext = "";

              MessageDigest md = MessageDigest.getInstance("SHA");

              md.update(("" + new Random().nextDouble()).getBytes());

              byte[] dbts = md.digest(text.getBytes());

              dtext = new String(dbts);

       }

HttpOnlyCookies_In_Config

启用了Cookie功能。

修复建议

关闭Cookie功能,只有http协议使用。

修复示例

在web.xml中添加或设置如下属性：

      

             

                     true

             

      

External_Control_of_Critical_State_Data

程序在一个未经授权的用户可以访问的位置存储了与用户或软件本身相关的安全状态信息。

转载于:https://my.oschina.net/u/3100849/blog/863754