本篇介绍了以下代码安全问题
1、硬编码加密密钥
2、不可信数据设为Random种子
3、Android程序:静态的加密密钥
4、JavaEE配置错误:Session ID长度过短
5、Axis2配置错误:调试信息
6、XML Schema配置错误:使用Unbounded
7、不安全的反序列化组件
8、JavaEE配置错误:特定HTTP方法
9、JavaEE配置错误:弱安全限制
10、Spring Boot配置错误:不安全的Actuator
1、硬编码加密密钥
详细信息
当程序中使用硬编码加密密钥时,所有项目开发人员都可以查看该密钥,甚至如果攻击者可以获取到程序class文件,可以通过反编译得到密钥,硬编码加密密钥会大大降低系统安全性。
例如:下列代码使用硬编码加密密钥执行AES加密。
private static String encryptionKey = "dfashsdsdfsdgagascv";
...
byte[] keyBytes