《安全指南JAVA语言.docVIP

目录 1. 范围 2 2. 术语和定义 2 3. Java代码开发安全指南 2 3.1 空指针引用(null pointer dereference) 2 3.2资源泄露（RESOURCE LEAK） 2 3.3数组引用问题(RETURN ARRAY） 3 3.4硬编码敏感数据(Hard-coded sense data) 3 3.5无用的代码 3 3.6变量的访问 3 3.7 Final类和方法 3 3.8作用域 4 3.9包作用域 4 3.10序列化问题 4 3.11通过名称比较类 4 3.12数据库注入 5 3.13类克隆 5 3.14初始化 6 3.15整数溢出 6 3.16第三方组件 6  范围 本部分规定了系统中所运行的软件程序在开发和设计过程中所应遵循的编码安全指南。 术语和定义 缓冲区溢出 缓冲区溢出是目前最常见的一种安全问题，操作系统以及应用程序大都存在缓冲区溢出漏 洞。缓冲区是一段连续内存空间，具有固定的长度。缓冲区溢出是由编程错误引起的，当程序向缓冲区内写入的数据超过了缓冲区的容量，就发生了缓冲区溢出，缓 冲区之外的内存单元被程序“非法”修改。 整数溢出 一个整数是一个固定的长度 (在本篇文章中使用32位),它能存储的最大值是固定的,当尝试去存储一个大于这个固定的最大值时,将会导致一个整数溢出。 Java代码开发安全指南 3.1 空指针引用(null pointer dereference) 在使用或引用对象前，要先对其进行检查，判断其是否为空。 3.2资源泄露（RESOURCE LEAK） 使用文件句柄、系统内存等资源后，要及时、正确的关闭资源，避免出现资源泄漏。 3.3数组引用问题(RETURN ARRAY） 不要直接返回指向包含敏感数据的内部数组的引用。即使数组中包含不可变的对象（如字符串），也要返回一个副本这样调用者不能修改数组中的字符串。不要传回一个数组，而是数组的拷贝。 3.4硬编码敏感数据(Hard-coded sense data) 应该将敏感数据保存在属性文件中，无论什么时候需要这些数据，都可以从该文件读取。如果数据极其敏感，那么在访问属性文件时，应用程序应该使用一些加密／解密技术，避免导致敏感数据泄露。 3.5无用的代码 应该将（除启动应用程序的 main() 方法之外的） main() 方法、未使用的方法以及死代码从应用程序代码中除去。在软件交付使用之前，主要开发人员应该对敏感应用程序进行一次全面的代码评审。应该使用“Stub”或“dummy”类代替 main() 方法以测试应用程序的功能。 3.6变量的访问 为了使外部调用可以访问类变量，应该使用取值方法而不是 定义public变量。按照具体问题具体对待的原则，在确定哪些变量特别重要因而应该声明为 private 时，应该将编码的方便程度及成本同安全性需要加以比较。 3.7 Final类和方法 ? 应该将不允许扩展的类和方法应该声明为 final，这样可以防止系统外的代码扩展类并修改类的行为。 ? 避免使用非final的公共静态变量。 3.8作用域 尽可能的减小方法和字段的作用域范围. 检查包私有成员是否应该是私有,保护成员是否应该是包私有或私有等等。 3.9包作用域 不要依靠包作用域来获取安全性。应该将类、方法和变量显式标注为 public 、private 或 protected 中适合特定需求的那种。 3.10序列化问题 ? 在包含系统资源的直接句柄和相对地址空间信息的字段前应该使用transient关键字。如果资源，如文件句柄，不被声明为transient，该对象在序列化状态下可能会被修改，从而使得被反序列化后获取对资源的不当访问。 ? 为了确保反序列化对象不包含违反一些不变量集合的状态，类应该定义自己的反序列化方法并使用ObjectInputValidation接口验证这些变量。 ? 为了保护虚拟机外的字节流，可以对序列化包产生的流进行加密。字节流加密防止解码或读取被序列化的对象的私有状态。如果决定加密，应该管理好密钥，密钥的存放地点以及将密钥交付给反序列化程序的方式等。 ? 如果一个类定义了自己的序列化方法，它就不能向任何DataInput/DataOuput方法传递内部数组。所有的DataInput/DataOuput方法都能被重写。注意默认序列化不会向DataInput/DataOuput字节数组方法暴露私有字节数组字段。 3.11通过名称比较类 ? 在那些非得根据名称来比较类的情况下，必须确保使用了当前类的 ClassLoader 的当前名称空间，如下面示例中所示的一种更好的比较方法： if(obj.getClass() == this.getClassLoader().loadClass(com.b