代码审计--36--新篇章之Java代码审计(十五)
2020-02-16 18:09
197 查看
本篇介绍了以下代码安全问题
1、Spring Boot配置错误:关闭执行器端点
2、过于宽松的跨文档消息目标
3、敏感信息泄露
4、JavaEE程序:不安全的GET请求
5、在Cookie中明文存储敏感信息
6、Android程序:遗留的调试代码
7、不安全的RFCOMM套接字
8、HTTP响应缓存泄露
9、Intent隐式调用
10、不安全的SSL:证书验证不充分
1、Spring Boot配置错误:关闭执行器端点
详细信息
当启用
Spring Boot Shutdown Actuator时,攻击者经过可能比较简单的身份验证后可以关闭应用程序。
例如:下列配置文件中启用了
Spring Boot Shutdown Actuator。
endpoints.shutdown.enabled=true
修复建议
不要启用
Spring Boot Shutdown Actuator。
2、过于宽松的跨文档消息目标
详细信息
HTML5的跨文档消息传递允许程序将消息发布到其他窗口,利用特定的 API可指定具体的目标窗口。 如果目标过于宽松,攻击者就能有可能与窗口进行通信,从而导致信息泄露,欺诈等其他攻击。
例如:下面代码片段中,采用了postWebMess
相关文章推荐
- 代码审计--37--新篇章之Java代码审计(十六)
- 代码审计--38--新篇章之Java代码审计(十七)
- 代码审计--39--新篇章之Java代码审计(十八)
- 代码审计--52--Java代码审计自动化实现
- 鸟瞰 Java 并发框架
- Spring Boot 与微服务从0到1的实践
- 2020 年国外 9 个顶级的 Java 框架,你知道几个?
- Java序列化 3 连问,这太难了吧!
- Spring Boot 2.x 引起的一个线上低级问题
- 如何编写可怕的 Java 代码?
- Java 14 令人期待的 5 大新特性,打包工具终于要来了!
- Spring Cloud Greenwich 最后一个计划版本发布!
- jwt token & spring oauth2
- java8 Stream:数值流(原始类型流特化)与构建流的几种方式
- java8方法引用-调用特定方法的Lambda的一种快捷写法
- java8中预定义的函数式接口:Predicate、Consumer、Function等
- java8-Lambda表达式的组成及使用
- java8行为参数化-逐步尝试实现代码传递
- 使用 Spring Cloud Sleuth、Elastic Stack 和 Zipkin 做微服务监控
- Java GC调优(下)