java 安全漏洞_安全漏洞之Java

https://blog.csdn.net/ru_li/article/details/79915948

1.跨站脚本攻击

(1)Cross-Site Scripting(XSS)：Reflected：jsp取值漏洞，使用c:out转义

var params_rf = "";

var params_rf = "";

Cross-Site Scripting: Persistent、Cross-Site Scripting: DOM

2.File Disclosure：使用的是由未经验证的输入创建的路径

过滤路径中的特殊字符，或者路径不让用户输入，在配置文件中配置相关路径

3.Unreleased Resource: Streams

资源未释放，一般在try中创建资源，finally中释放资源

4.Double-Checked Locking

5、Log Forging：

最直接的方法就是删除漏洞的日志打印，但删除后，项目上线一旦出现故障，就无法通过查日志定位问题所在，所以这个方法可行但后期维护不方便；另外一个方法就是封装一个打印日志的公共类，但这种方法也只是能够降低漏洞数量，无法解决这个漏洞；最号就是要过滤掉非法字符：

public static String validLog(String log) {

List list = new ArrayList();

list.add("%0d");

list.add("\r");

list.add(&