Java 开发安全规范.docx

Java 开发安全规范目 录一. 安全隐患11.1 ProcessBuilder注入允许攻击者执行代码11.2 确保public和static字段被定义为final11.3 包含敏感调用的方法应标记为final21.4 执行数据库查询前设置查询类型31.5 实现Serializable接口时没有定制序列化协议31.6 限制特权代码的可访问性41.7 确保SecurityManager权限检查的完整性61.8 避免在public方法中返回private内部数据81.9 避免危险的public static final数组声明8二. 环境配置92.1 不要将多类URL映射到同一个Servlet92.2 不要在配置文件中存放敏感信息92.3 确保Servlet有名字并正确配置102.4 限制字段最大长度避免DoS或注入攻击11三. 代码质量123.1 谨慎使用Thread.yield()方法123.2 使用notifyAll方法替代notify133.3 避免使用Thread的stop方法133.4 重新抛出ThreadDeath异常133.5 确保锁在发生异常时被正确释放143.6 避免在获取锁后调用sleep方法163.7 避免在finally块中抛出异常16四. 安全特性174.1 确保密码学加密算法密钥强度174.2 避免使用过时的加密算法174.3 避免使用不安全的填充(Padding)模式174.4 避免使用弱初始化向量(Initialization Vector)174.5 不要依赖isSecure()方法来决定是否传递敏感信息184.6 在敏感信息不再需要时显式清除它18安全隐患ProcessBuilder注入允许攻击者执行代码与Runtime类相似，如果ProcessBuilder对象根据不可信输入被构造，则有可能被攻击者用来进行命令注入攻击。错误的用法：public static void execUsingCommand(String command) throws Exception {String[] args = new String[] { cmd, /c, dir + command };Process process = new ProcessBuilder().command(args).start();InputStream is = process.getInputStream();InputStreamReader isr = new InputStreamReader(is);BufferedReader br = new BufferedReader(isr);String line;while ((line = br.readLine()) != null) { System.out.println(line); }}在上述代码中，如果command参数来自不可信输入，如网页请求参数或请求URL，则代码存在命令注入漏洞。攻击者可以通过构造一个恶意输入，例如“/home/user rm /app/config”，通过命令行同时执行多条命令。正确的做法是永远不要使用不可信输入构造ProcessBuilder对象，可以通过预定义可能的命令行列表，并根据用户输入来选择执行。确保public和static字段被定义为final如果一个public和static的字段，没有被定义为final，则不受信任的代码有可能通过修改此字段，影响对象的状态，造成潜在的攻击可能性。错误的用法：public class MyClass{ public static int counter = 123; //...}正确的用法：public class MyClass{ public static final int counter = 123; //...}包含敏感调用的方法应标记为final如果一个class没有被标记为final，那么他的所有方法都可以被重载(override)。如果它的一个方法调用了SecurityManager进行特权检查或其他敏感操作，例如AccessController.doPrivileged等，则应确保此方法被标记为final，否则可能被恶意使用者通过重载此方法，跳过预设的检测逻辑。错误的用法：public class BadSecurityCheck {private int id;public BadSecurityCheck() {securityCheck();id = 1;}protected void doSecurityCheck() {SecurityManager sm = System.getSecurityManager();if (sm != null)