推广 热搜: 油菜籽榨油机  大叔的田  螺旋榨油机  小型榨油机  液压榨油机  柔性防水套管  全自动榨油机  低熔点投料袋  A型钢性防水套管  传力接头 

Java安全编码实践 - 挑战和漏洞

   日期:2019-09-10     浏览:0    
核心提示:有关Java安全编码的一些Stack Overflow建议不得100%受信任。Java安全开发的未来在于构建半自动和自动安全漏洞检测和补丁工具。
 有关Java安全编码的一些Stack Overflow建议不得100%受信任。Java安全开发的未来在于构建半自动和自动安全漏洞检测和补丁工具。

 

分析了与Java安全编码实践相关的Stack Overflow帖子,并挖掘了关键主题,用户正在努力解决的问题,以及广泛接受的答案是否真正遵循最佳的Java安全实践。

孟等人。在Stack Overflow上抓取了22,195个帖子,其中包含短语“security”和“Java”。此外,他们过滤了没有代码片段的帖子,那些负面投票且没有接受答案的帖子。

另一次视察导致了2008年至2016年的503个帖子。最后,剩下的帖子分析了Java开发人员经历的Java安全编码的安全问题,明显的编程障碍和漏洞(不安全的编码实践)。

那么,人们对Stack Overflow上的java有什么看法呢?
大多数问题与java函数实现有关,而不是与理解安全设计有关的问题。

此外,孟等人。根据讨论的平台分析了“我如何......”的问题:Spring Security,Java EE安全性或Java平台安全性。值得注意的是,Spring Security拥有最大(56%)的问题。

那么,上述分类中的关键顶部是什么,特别是实施帖子?

  • Spring Security:配置,授权和身份验证。
  • Java EE安全性
  • Java平台:安全通信,访问控制和加密。

孟等人。注意到问题的数量和分布在2008-2016研究期间不断增长和变化。

从2009年到2011年,大多数问题都是关于Java平台安全性的。这从2012年开始转变为保护企业Java应用程序(例如Spring Security(超过50%)和Java EE安全性)。

主要挑战(2008-2016)

考虑到五大主题领域(安全通信,加密,身份验证和Java EE安全),Meng等人。进行了彻底的分析,以确定共同的挑战。

值得注意的是:Stack Overflow分析中最大的主题区域是身份验证。身份验证问题是Spring Security独有的。在这种情况下,开发人员想知道

一世。如何将Spring Security与各种框架和应用程序服务器集成

II。使用Java(42 q)或XML(84 q)配置Spring Security

III。将XML构建的配置转换为Java构建的配置。

1.集成Spring Security

最初,Spring项目主要是XML构建的,这种情况后来发生了变化。目前,自2013年发布Spring Security 3.2.0以来,Spring Security支持Java构建的配置然而…..

...。仍然存在许多方法,类和字段的注释和API,可以规定不同的配置选择.... 微妙的要求和隐含的约束没有充分记录。

(查看 5.0.6发行版中最新指南。但是,从头开始时,请检查Spring Boot方式)。

此外,开发人员努力传达以前的XML构建项目以利用Java配置。

密码学(Java平台)

在密码学中,开发人员在隐式约束,差错误消息以及使用不同语言加密和解密数据方面遇到了挑战。

值得注意的是,加密帖子主要与密钥生成及其使用有关。开发人员报告面临隐含的API使用限制,数据的跨语言处理和无知错误消息。

访问控制

Stack Overflow上的Access控制帖子与如何限制某些不受信任的代码访问特定方法,类和包有关。

此外,孟等人。注意到9个与小程序有关的帖子,突出了对该研究的限制。值得注意的是,在2018年,applet是“不使用”。

安全通讯

在安全通信方面,大多数帖子与如何建立SSL或TLS连接有关。这个过程非常广泛,因此大多数开发人员倾向于接受破坏的解决方案,目的是绕过一些安全验证。

漏洞

再次,我们重复我们的初步问题:Stack Overflow是否提供了良好的Java建议?孟等人的初步反应是......是.......有时候。

但是,孟等人。在Stack Overflow中发现了三个常见主题领域的安全漏洞:

一世。密码哈希

II。SSL / TLS,

III。Spring Security的csrf()

常见的主题是问题是“安全策略正在打扰我做xxxxx”,Stack Overflow上的答案通常是“禁用安全性!”

默认情况下,Spring Security将启用CSRF保护,其关联的令牌必须包含在DELETE,PUT,POST和PATCH方法中。但是,请勿禁用CSRF保护!

在SSL / TSL问题上,认证验证是一个关键问题。值得注意的是,禁用SSL证书的验证过程会妨碍安全通信协议。这将使客户端暴露于中间人(MITM)攻击。

在密码散列方面,Stack Overflow显然已经过时了。孟等人。据报道,50%的密码哈希帖子认可了易受攻击的解决方案作为正确答案。这表明开发人员缺乏最新的安全编程实践。

建议

作为开发人员,进行安全测试以确定所有功能是否按要求运行。但是,不要禁用安全检查 - 即使在测试或开发中被视为行'临时'修复。检查Stack Overflow是否安全且是最新的。

II。工具构建者需要设计能够自动诊断安全性错误,发现带有错误的代码以及推荐解决方案或补丁的工具。

 

最后,Java安全开发的未来是构建半自动和自动安全漏洞检测和补丁工具。

 
打赏
 
更多>同类新闻

推荐图文
推荐新闻
点击排行
网站首页  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报