代码审计--36--新篇章之Java代码审计（十五）

本篇介绍了以下代码安全问题

1、Spring Boot配置错误：关闭执行器端点
2、过于宽松的跨文档消息目标
3、敏感信息泄露
4、JavaEE程序：不安全的GET请求
5、在Cookie中明文存储敏感信息
6、Android程序：遗留的调试代码
7、不安全的RFCOMM套接字
8、HTTP响应缓存泄露
9、Intent隐式调用
10、不安全的SSL：证书验证不充分

1、Spring Boot配置错误：关闭执行器端点

详细信息

当启用

Spring Boot Shutdown Actuator

时，攻击者经过可能比较简单的身份验证后可以关闭应用程序。

例如：下列配置文件中启用了

Spring Boot Shutdown Actuator

。

endpoints.shutdown.enabled=true

修复建议

不要启用

Spring Boot Shutdown Actuator

。

2、过于宽松的跨文档消息目标

详细信息

HTML5的跨文档消息传递允许程序将消息发布到其他窗口，利用特定的 API可指定具体的目标窗口。 如果目标过于宽松，攻击者就能有可能与窗口进行通信，从而导致信息泄露，欺诈等其他攻击。

例如：下面代码片段中，采用了postWebMess