本篇介紹了以下代碼安全問題
1、硬編碼加密密鑰
2、不可信數據設爲Random種子
3、Android程序:靜態的加密密鑰
4、JavaEE配置錯誤:Session ID長度過短
5、Axis2配置錯誤:調試信息
6、XML Schema配置錯誤:使用Unbounded
7、不安全的反序列化組件
8、JavaEE配置錯誤:特定HTTP方法
9、JavaEE配置錯誤:弱安全限制
10、Spring Boot配置錯誤:不安全的Actuator
1、硬編碼加密密鑰
詳細信息
當程序中使用硬編碼加密密鑰時,所有項目開發人員都可以查看該密鑰,甚至如果攻擊者可以獲取到程序class文件,可以通過反編譯得到密鑰,硬編碼加密密鑰會大大降低系統安全性。
例如:下列代碼使用硬編碼加密密鑰執行AES加密。
private static String encryptionKey = "dfashsdsdfsdgagascv";
...
byte[] keyBytes