JAVA安全

Java安全之JNDI注入

Java安全之JNDI注入文章首发:Java安全之JNDI注入0x00前言续上篇文内容,接着来学习JNDI注入相关知识。JNDI注入是Fastjson反序列化漏洞中的攻击手法之一。
nice_0e3·2020-11-11 12:00

Java安全之Commons Collections6分析

Java安全之CommonsCollections6分析0x00前言其实在分析的几条链中都大致相同,都是基于前面一些链的变形,在本文的CC6链中,就和前面的有点小小的区别。
nice_0e3·2020-10-28 18:00

BCEL ClassLoader去哪了?

但是,我前几天在写《Java安全漫谈》的时候,偶然发现我环境中的com.sun.org.apache.bcel.internal.util.ClassLoader类找不到了,本文就带大家来找找BCELClassLoader
落沐萧萧·2020-10-26 12:37

SpringBoot2教程(五)整合Shiro

+Maven3.3.9+SpringBoot2.0.4+Mybatis3+Shiro+H2+Eclipse注意:使用了H2嵌入式内存模式的数据库二、Shiro简介ApacheShiro是一个强大易用的Java
课间指针·2020-10-20 20:11

尚硅谷2020最新版宋红康JVM教程-中篇-第4章:再谈类的加载器-06-08

沙箱安全机制前言沙箱安全机制保证程序安全保护Java原生的JDK代码Java安全模型的核心就是Java沙箱(sandbox)。什么是沙箱?沙箱是一个限制程序运行的环境。
zgcadmin·2020-10-18 16:36

Java安全之Commons Collections1分析(三)

Java安全之CommonsCollections1分析(三)0x00前言继续来分析cc链,用了前面几篇文章来铺垫了一些知识。在上篇文章里,其实是硬看代码,并没有去调试。因为一直找不到JDK的低版本。
nice_0e3·2020-10-11 17:00

Java安全之Commons Collections1分析(二)

Java安全之CommonsCollections1分析(二)0x00前言续上篇文,继续调试cc链。在上篇文章调试的cc链其实并不是一个完整的链。只是使用了几个方法的的互相调用弹出一个计算器。
nice_0e3·2020-10-10 12:00

java安全编码指南之:lock和同步的正确使用

简介在java多线程环境中,lock和同步是我们一定会使用到的功能。那么在java中编写lock和同步相关的代码之后,需要注意哪些问题呢?一起来看看吧。使用privatefinalobject来作为lock对象一般来说我们在做多线程共享对象的时候就需要进行同步。java中有两种同步方式,第一种就是方法同步,第二种是同步块。如果我们在实例方法中使用的是synchronized关键字,或者在同步块中使
flydean·2020-10-10 12:37

java安全编码指南之:lock和同步的正确使用

目录简介使用privatefinalobject来作为lock对象不要synchronize可被重用的对象不要syncObject.getClass()不要sync高级并发对象不要使用Instancelock来保护static数据在持有lock期间,不要做耗时操作正确释放锁简介在java多线程环境中,lock和同步是我们一定会使用到的功能。那么在java中编写lock和同步相关的代码之后,需要注意
flydean·2020-10-10 08:00

SpringMVC整合Shiro

摘要:SpringMVC整合Shiro,Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能。
試毅_思伟·2020-10-09 14:58

java安全编码指南之:可见性和原子性

简介java类中会定义很多变量,有类变量也有实例变量,这些变量在访问的过程中,会遇到一些可见性和原子性的问题。这里我们来详细了解一下怎么避免这些问题。不可变对象的可见性不可变对象就是初始化之后不能够被修改的对象,那么是不是类中引入了不可变对象,所有对不可变对象的修改都立马对所有线程可见呢?实际上,不可变对象只能保证在多线程环境中,对象使用的安全性,并不能够保证对象的可见性。先来讨论一下可变性,我们
阿里云云栖号·2020-10-09 13:04

java安全编码指南之:方法编写指南

简介java程序的逻辑是由一个个的方法组成的,而在编写方法的过程中,我们也需要遵守一定的安全规则,比如方法的参数进行校验,不要在assert中添加业务逻辑,不要使用废弃或者过期的方法,做安全检查的方法一定要设置为private等。今天我们再来深入的探讨一下,java方法的编写过程中还有哪些要注意的地方。不要在构造函数中调用可以被重写的方法一般来说在构造函数中只能调用static,final或者pr
flydean·2020-10-09 13:37

java安全编码指南之:死锁dead lock

简介java中为了保证共享数据的安全性,我们引入了锁的机制。有了锁就有可能产生死锁。死锁的原因就是多个线程锁住了对方所需要的资源,然后现有的资源又没有释放,从而导致循环等待的情况。通常来说如果不同的线程对加锁和释放锁的顺序不一致的话,就很有可能产生死锁。不同的加锁顺序我们来看一个不同加锁顺序的例子:publicclassDiffLockOrder{privateintamount;publicDi
flydean·2020-10-09 13:21

java安全编码指南之:异常处理

简介异常是java程序员无法避免的一个话题,我们会有JVM自己的异常也有应用程序的异常,对于不同的异常,我们的处理原则是不是一样的呢?一起来看看吧。异常简介先上个图,看一下常见的几个异常类型。所有的异常都来自于Throwable。Throwable有两个子类,Error和Exception。Error通常表示的是严重错误,这些错误是不建议被catch的。注意这里有一个例外,比如ThreadDeat
flydean·2020-10-09 13:20

java安全编码指南之:敏感类的拷贝

简介一般来说class中如果包含了私有的或者敏感的数据的时候是不允许被拷贝的。如果一个class不想被拷贝,我们是不是不提供拷贝的方法就能保证class的安全了呢?一起来看看吧。一个简单的SensitiveObject假如我们有下面的一个SensitiveObject,它的作用就是存储一个password,并且提供了一个修改password的方法:publicclassSensitiveObjec
flydean·2020-10-09 13:17

java安全编码指南之:可见性和原子性

简介java类中会定义很多变量,有类变量也有实例变量,这些变量在访问的过程中,会遇到一些可见性和原子性的问题。这里我们来详细了解一下怎么避免这些问题。不可变对象的可见性不可变对象就是初始化之后不能够被修改的对象,那么是不是类中引入了不可变对象,所有对不可变对象的修改都立马对所有线程可见呢?实际上,不可变对象只能保证在多线程环境中,对象使用的安全性,并不能够保证对象的可见性。先来讨论一下可变性,我们
阿里云云栖号·2020-10-09 12:57

深入浅出谈Java安全之URLDNS链

在学习Java的反序列化漏洞的时候,就不得不学习他的一个利用链。很多刚刚入门的对于利用链这个词可能比较陌生。那么这里先来了解一下Java反序列化和反序列化漏洞的一个产生。1|20x01Java反序列化Java提供了一种对象序列化的机制,用一个字节序列表示一个对象,该字节包含对象的数据、对象的类型、对象的存储属性。字节序列写出到文件后,相当于可以持久报错了一个对象信息,这过程叫做序列化。序列化对象会
Java正道的光·2020-10-08 16:09

Java安全之Commons Collections1分析(一)

Java安全之CommonsCollections1分析(一)0x00前言在CC链中,其实具体执行过程还是比较复杂的。建议调试前先将一些前置知识的基础给看一遍。
nice_0e3·2020-10-07 23:00

Java安全之URLDNS链

Java安全之URLDNS链0x00前言在学习Java的反序列化漏洞的时候,就不得不学习他的一个利用链。很多刚刚入门的对于利用链这个词可能比较陌生。
·2020-10-06 00:00

Java安全之Commons Collections1分析前置知识

Java安全之CommonsCollections1分析前置知识0x00前言CommonsCollections的利用链也被称为cc链,在学习反序列化漏洞必不可少的一个部分。
nice_0e3·2020-10-01 18:00

java安全编码指南之:死锁dead lock

目录简介不同的加锁顺序使用private类变量使用相同的Order释放掉已占有的锁简介java中为了保证共享数据的安全性,我们引入了锁的机制。有了锁就有可能产生死锁。死锁的原因就是多个线程锁住了对方所需要的资源,然后现有的资源又没有释放,从而导致循环等待的情况。通常来说如果不同的线程对加锁和释放锁的顺序不一致的话,就很有可能产生死锁。不同的加锁顺序我们来看一个不同加锁顺序的例子:publiccla
·2020-10-01 08:00

java安全编码指南之:异常处理

目录简介异常简介不要忽略checkedexceptions不要在异常中暴露敏感信息在处理捕获的异常时,需要恢复对象的初始状态不要手动完成finallyblock不要捕获NullPointerException和它的父类异常不要throwRuntimeException,Exception,orThrowable不要抛出未声明的checkedException简介异常是java程序员无法避免的一个话
flydean·2020-09-29 09:00

java安全编码指南之:敏感类的拷贝

目录简介一个简单的SensitiveObjectSensitiveObject的限制对SensitiveObject的攻击解决办法简介一般来说class中如果包含了私有的或者敏感的数据的时候是不允许被拷贝的。如果一个class不想被拷贝,我们是不是不提供拷贝的方法就能保证class的安全了呢?一起来看看吧。一个简单的SensitiveObject假如我们有下面的一个SensitiveObject,
flydean·2020-09-28 09:00

java安全编码指南之:可见性和原子性

目录简介不可变对象的可见性保证共享变量的复合操作的原子性保证多个Atomic原子类操作的原子性保证方法调用链的原子性读写64bits的值简介java类中会定义很多变量,有类变量也有实例变量,这些变量在访问的过程中,会遇到一些可见性和原子性的问题。这里我们来详细了解一下怎么避免这些问题。不可变对象的可见性不可变对象就是初始化之后不能够被修改的对象,那么是不是类中引入了不可变对象,所有对不可变对象的修
flydean·2020-09-25 10:00

SpringBoot-狂神(17. SpringBoot整合Shiro)学习笔记

快速入门1.拷贝案例2.分析案例3.SpringBoot集成Shiro1.编写配置文件2.搭建简单测试环境3.使用1.登录拦截2.用户认证3.退出登录1.概述1.简介ApacheShiro是一个强大且易用的Java
yuan_404·2020-09-21 16:37

java安全编码指南之:输入校验

目录简介在字符串标准化之后进行校验注意不可信字符串的格式化小心使用Runtime.exec()正则表达式的匹配简介为了保证java程序的安全,任何外部用户的输入我们都认为是可能有恶意攻击意图,我们需要对所有的用户输入都进行一定程度的校验。本文将带领大家探讨一下用户输入校验的一些场景。一起来看看吧。在字符串标准化之后进行校验通常我们在进行字符串校验的时候需要对一些特殊字符进行过滤,过滤之后再进行字符
flydean·2020-09-21 10:00

java安全编码指南之:堆污染Heap pollution

目录简介产生堆污染的例子更通用的例子可变参数简介什么是堆污染呢?堆污染是指当参数化类型变量引用的对象不是该参数化类型的对象时而发生的。我们知道在JDK5中,引入了泛型的概念,我们可以在创建集合类的时候,指定该集合类中应该存储的对象类型。如果在指定类型的集合中,引用了不同的类型,那么这种情况就叫做堆污染。产生堆污染的例子有同学可能会问了,既然JDK5引入了泛型,为什么还会出现堆污染呢?这是一个好问题
flydean·2020-09-18 10:00

华为java安全编码规范考试(iLearning考题)

华为外包java安全编码规范考试ILearing软件考的,整理不易,收点币!!
做猪呢,最重要的是开森啦·2020-09-17 14:43

java安全编码指南之:基础篇

简介作为一个程序员,只是写出好用的代码是不够的,我们还需要考虑到程序的安全性。在这个不能跟陌生人说话世界,扶老奶奶过马路都是一件很困难的事情。那么对于程序员来说,尤其是对于开发那种对外可以公开访问的网站的程序员,要承受的压力会大很多。任何人都可以访问我们的系统,也就意味着如果我们的系统不够健壮,或者有些漏洞,恶意攻击者就会破门而入,将我们辛辛苦苦写的程序蹂躏的体无完肤。所以,安全很重要,今天本文将
力软快速开发平台·2020-09-17 13:17

SpringBoot2.X整合Shiro

Shiro说明Shiro是一个强大、简单易用的Java安全框架,主要用来更便捷的认证,授权,加密,会话管等等,可为任何应用提供安全保障。本篇主要来介绍Shiro的认证和授权功能。
紫衣迷·2020-09-17 12:19

Shiro实现登陆及授权,ajax请求无权限的json返回

Shiro的介绍①ApacheShiro:Java安全框架,有身份验证、授权、密码学和会话管理。
愤怒的皮蛋瘦肉粥·2020-09-17 12:40

springmvc整合shiro权限控制

一、什么是ShiroApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能:认证-用户身份识别,常被称为用户“登录”;授权-访问控制;密码加密-保护或隐藏数据防止被偷窥
wushuchu·2020-09-17 10:09

SpringBoot+Shiro

1.Shiro安全框架介绍1.2.1Shiro概述ApacheShiro(发音为“shee-roh”,日语为“castle”)是一种功能强大且易于使用的Java安全框架,可执行身份验证,授权,加密和会话管理
zuoyou_yi·2020-09-17 09:40

JAVA中进行数据完整性验证

最近在看JAVA安全方面的东东。简单地说,安全包括访问控制、数据安全两部分。安全访问控制是根据系统需求进行设计的,对资源进行访问控制的一种措施。
喜欢财富管理的IT人·2020-09-17 06:34

shiro深入浅出

一,介绍ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
邵兵帅·2020-09-16 19:04

使用Shiro实现权限验证

《使用Shiro实现权限验证》1.Shiro入门ApacheShiro是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。
YanMonarch·2020-09-16 18:11

Shiro与CAS整合实现单点登录

Shiro:ApacheShiro是一个Java安全框架,可以帮助我们完成认证、授权、会话管理、加密等,并且提供与web集成、缓存、rememberMed等功能。
weixin_30488085·2020-09-16 14:21

SpringBoot2.0 整合 Shiro 框架,实现用户权限管理

一、Shiro简介1、基础概念ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。
知了一笑·2020-09-16 09:06

java安全编码指南之:字符串和编码

目录简介使用变长编码的不完全字符来创建字符串char不能表示所有的Unicode注意Locale的使用文件读写中的编码格式不要将非字符数据编码为字符串简介字符串是我们日常编码过程中使用到最多的java类型了。全球各个地区的语言不同,即使使用了Unicode也会因为编码格式的不同采用不同的编码方式,如UTF-8,UTF-16,UTF-32等。我们在使用字符和字符串编码的过程中会遇到哪些问题呢?一起来
flydean·2020-09-16 09:00

Shiro简介与Hello World实现

一、Shiro简介ApacheShiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障-从命令行应用、移动应用到大型网络及企业应用。
StevenXuW·2020-09-16 06:14

shiro反序列化漏洞复现

ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
NoOne_52·2020-09-15 20:12

SpringBoot中整合Shiro实现权限管理的示例代码

项目中使用过shiro,发现shiro的权限管理做的真不错,但是在SSM项目中的配置太繁杂了,于是这次在SpringBoot中使用了shiro,下面一起看看吧一、简介ApacheShiro是一个强大且易用的Java
·2020-09-15 17:39

Shiro入门

本文来自转载:深入浅出Shiro系列思维导图:1,初识Shiro1.1,简介;ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
曲青笙·2020-09-15 15:42

反射-访问类变量的方法

可以轻松获得类变量的所有信息,并且可以修改变量的值,如果这些属性是private活protected的,则必须设置setAccessible(true)的方法,否则会抛出IllegalAccessException异常,如果java
fjzzmsd·2020-09-15 10:02

spring boot的Thymeleaf模板注入

参考:java安全开发之springbootThymeleaf模板注入https://www.acunetix.com/blog/web-security-zone/exploiting-ssti-in-thymeleaf
caiqiiqi·2020-09-15 10:13

JAVA的安全管理SecurityManager

因此引入了java安全策略机制,利用一个配置文件管理所有的代码权限。二、安全管理器配置文件默认的安全管理器配置文件为%JAVA_HOME%/jre/lib/security/java.policy。
阿门阿前一颗葡萄树·2020-09-15 08:21

Shiro web 的第一个入门级别案例

最近在学习shiro安全框架,写了一个简单入门的ShiroWeb程序##简介:ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。
未来遥不可知·2020-09-15 06:12

java安全编码指南之:对象构建操作

简介程序员肯定是不缺对象的,因为随时都可以构建一个,对象多了肯定会出现点安全问题,一起来看看在java的对象构建中怎么保证对象的安全性吧。构造函数的异常考虑下面的一个例子:publicclassSensitiveOperation{publicSensitiveOperation(){if(!doSecurityCheck()){thrownewSecurityException("Securit
·2020-09-14 16:42

Shiro学习记录(详细)

Shiro学习记录shiro核心组件SpringBoot整合ShiroShiro整合ThymeleafShiro学习记录什么是Shiro官网:http://shiro.apache.org/是一款主流的Java
monkeyhlj·2020-09-14 14:34

springboot2.0整合shiro攻略

Shiro是什么ApacheShiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。
Moshow郑锴·2020-09-14 12:14
上一页 4 5 6 7 8 9 10 11 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他