备案控制台
探索云世界
开发者社区 华章出版社 文章 正文

《Java安全编码标准》一2.7 IDS06-J从格式字符串中排除用户输入

2017-08-01 1552
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 本节书摘来自华章出版社《Java安全编码标准》一书中的第2章,第2.7节,作者 (美)Fred Long,Dhruv Mohindra,Robert C. Seacord,Dean F. Sutherland,David Svoboda,更多章节内容可以访问云栖社区“华章计算机”公众号查看

2.7 IDS06-J从格式字符串中排除用户输入

对Java格式字符串的解释要比对在像C语言这样的语言中更严格[Seacord 2005]。当任何转换参数不能匹配相应的格式符时,标准类库实现会抛出一个相应的异常。这种方法降低了被恶意利用的可能性。然而,恶意用户输入可以利用格式字符串,并且造成信息泄露或者拒绝服务。因此,不能在格式字符串中使用非受信来源的字符串。

2.7.1 不符合规则的代码示例

这个不符合规则的代码示例展示了可能出现信息泄露的问题。它将信用卡的失效日期作为输入参数并将其用在格式字符串中。

class Format {
??static Calendar c =
???new GregorianCalendar(1995, GregorianCalendar.MAY, 23);
??public static void main(String[] args) {??
????// args[0] is the credit card expiration date
????// args[0] can contain either %1$tm, %1$te or %1$tY as malicious
????// arguments
????// First argument prints 05 (May), second prints 23 (day)?
????// and third prints 1995 (year)
????// Perform comparison with c, if it doesn’t match print the?
????// following line
????System.out.printf(args[0] +?
????" did not match! HINT: It was issued on %1$terd of some month", c);
??}
}

如果没有经过正确输入验证,攻击者通过在输入语句中包含以下参数之一:%1$tm、?%1$te或?%1$tY,就可以判断验证中所用来和输入相对比的日期。

2.7.2 符合规则的方案

该方案能够保证用户产生的输入会被排除在格式字符串之外。

class Format {
??static Calendar c =?
????new GregorianCalendar(1995, GregorianCalendar.MAY, 23);
??public static void main(String[] args) {??
????// args[0] is the credit card expiration date
????// Perform comparison with c,?
????// if it doesn't match print the following line
????System.out.printf ("%s did not match! "
????????+ " HINT: It was issued on %1$terd of some month", args[0], c);
??}
}

2.7.3 风险评估

image

自动化检测 完成污染分析的静态分析工具可以用来判断是否违背该规则。

2.7.4 相关规范

image

2.7.5 参考书目

image

文章标签:
Java
安全
JavaScript
关键词:
Java字符串
Java安全
Java格式
Java格式字符串
Java用户输入
华章计算机
目录
相关文章
java开发-郭老师
|
17天前
|
Java
Java 字符串分割split空字符串丢失解决方案
Java 字符串分割split空字符串丢失解决方案
java开发-郭老师
15 0
橙子先生
|
9天前
|
存储 安全 Java
Java中的容器,线程安全和线程不安全
Java中的容器,线程安全和线程不安全
橙子先生
15 1
桃李春风一杯酒
|
11天前
|
SQL 安全 Java
Java安全编程:防范网络攻击与漏洞
【4月更文挑战第15天】本文强调了Java安全编程的重要性,包括提高系统安全性、降低维护成本和提升用户体验。针对网络攻击和漏洞,提出了防范措施:使用PreparedStatement防SQL注入,过滤和转义用户输入抵御XSS攻击,添加令牌对抗CSRF,限制文件上传类型和大小以防止恶意文件,避免原生序列化并确保数据完整性。及时更新和修复漏洞是关键。程序员应遵循安全编程规范,保障系统安全。
桃李春风一杯酒
18 2
hacker707
|
19天前
|
Java
Java练习题-键盘录入字符串实现大小写转换
Java练习题-键盘录入字符串实现大小写转换
hacker707
20 2
肥猪肥猪-17824
|
20天前
|
存储 安全 Java
Java中实现高效的字符串拼接技术
【4月更文挑战第6天】在Java编程中,字符串拼接是一个常见的操作。然而,由于字符串的不可变性,频繁的拼接操作可能会导致性能问题。本文将探讨Java中实现高效字符串拼接的技术,包括使用StringBuilder类、StringBuffer类以及Java 8中的StringJoiner类。通过对比这些技术的优缺点,我们将为您提供在不同场景下选择合适的字符串拼接方法的建议。
肥猪肥猪-17824
9 0
桃李春风一杯酒
|
23天前
|
XML JSON JavaScript
使用JSON和XML:数据交换格式在Java Web开发中的应用
【4月更文挑战第3天】本文比较了JSON和XML在Java Web开发中的应用。JSON是一种轻量级、易读的数据交换格式,适合快速解析和节省空间,常用于API和Web服务。XML则提供更强的灵活性和数据描述能力,适合复杂数据结构。Java有Jackson和Gson等库处理JSON,JAXB和DOM/SAX处理XML。选择格式需根据应用场景和需求。
桃李春风一杯酒
18 0
风水道人
|
28天前
|
Java
java 8 数组转字符串并以逗号分隔
java 8 数组转字符串并以逗号分隔
风水道人
11 0
洛神灬殇
|
28天前
|
存储 安全 Java
【Java技术专题】「攻破技术盲区」攻破Java技术盲点之unsafe类的使用指南(打破Java的安全管控— sun.misc.unsafe)
【Java技术专题】「攻破技术盲区」攻破Java技术盲点之unsafe类的使用指南(打破Java的安全管控— sun.misc.unsafe)
洛神灬殇
36 0
ohh.
|
3天前
|
安全 Java 调度
Java线程:深入理解与实战应用
Java线程:深入理解与实战应用
ohh.
21 0
牵着猫散步的鼠鼠
|
1天前
|
消息中间件 缓存 NoSQL
Java多线程实战-CompletableFuture异步编程优化查询接口响应速度
Java多线程实战-CompletableFuture异步编程优化查询接口响应速度
牵着猫散步的鼠鼠
9 0

华章出版社

热门文章

最新文章

  • 1
    Java中的多线程编程:概念、实现与性能优化
  • 2
    基于 java + Springboot + vue +mysql 大学生实习管理系统(含源码)
  • 3
    使用Java代码打印log日志
  • 4
    Java数据结构与算法-java数据结构与算法(二)
  • 5
    【JVM故障问题排查心得】「Java技术体系方向」Java虚拟机内存优化之虚拟机参数调优原理介绍(一)
  • 6
    深入理解Java并发编程:线程安全与性能优化
  • 7
    Java入门高频考查基础知识4(字节跳动面试题18题2.5万字参考答案)
  • 8
    开发语言详解(python、java、Go(Golong)。。。。)
  • 9
    《理解 WebSocket:Java Web 开发的实时通信技术》
  • 10
    java线程池讲解面试
  • 1
    Java中的集合框架:深入理解与应用
    19
  • 2
    Java并发编程:理解并使用Future和Callable接口
    17
  • 3
    性能工具之 Java 调试工具 JDB
    45
  • 4
    JAVA云HIS系统医院信息管理源码
    31
  • 5
    Java基于物联网技术的智慧工地云管理平台源码 依托丰富的设备接口标准库,快速接入工地现场各类型设备
    148
  • 6
    [Java基础]——JVM内存模型
    36
  • 7
    [Java基础]——类的生命周期
    13
  • 8
    [java进阶]——泛型类、泛型方法、泛型接口、泛型的通配符
    23
  • 9
    【java进阶】Java中线程的实现方式
    14
  • 10
    【java进阶】集合的三种遍历(迭代器、增强for、Lambda)
    17

    • 相关课程

    更多
  • Java面试疑难点解析 - 面试技巧及语言基础
  • Java面试疑难点解析 - Java Web开发
  • Java面试疑难点解析 - 系统架构及项目设计
  • Java编程入门
  • Java面向对象编程
  • Java高级编程

    • 相关电子书

    更多
  • Spring Cloud Alibaba - 重新定义 Java Cloud-Native
  • The Reactive Cloud Native Arch
  • JAVA开发手册1.5.0

    • 相关实验场景

    更多
  • 阿里云平台上进行Java程序的编译与运行
  • 使用Java面向对象编写网络通信程序应用
  • Elasticsearch Java API Client 开发
  • 手动部署Java Web环境(Alibaba Cloud Linux 2)
  • 搭建Java Web开发环境(Anolis OS)
  • RocketMQ中使用Java客户端发送消息和消费的应用
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)