AI 助理
备案控制台登录注册
开发者社区 华章出版社 文章 正文

《Java安全编码标准》一2.7 IDS06-J从格式字符串中排除用户输入

2017-08-01 1649
版权
举报
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 本节书摘来自华章出版社《Java安全编码标准》一书中的第2章,第2.7节,作者 (美)Fred Long,Dhruv Mohindra,Robert C. Seacord,Dean F. Sutherland,David Svoboda,更多章节内容可以访问云栖社区“华章计算机”公众号查看

2.7 IDS06-J从格式字符串中排除用户输入

对Java格式字符串的解释要比对在像C语言这样的语言中更严格[Seacord 2005]。当任何转换参数不能匹配相应的格式符时,标准类库实现会抛出一个相应的异常。这种方法降低了被恶意利用的可能性。然而,恶意用户输入可以利用格式字符串,并且造成信息泄露或者拒绝服务。因此,不能在格式字符串中使用非受信来源的字符串。

2.7.1 不符合规则的代码示例

这个不符合规则的代码示例展示了可能出现信息泄露的问题。它将信用卡的失效日期作为输入参数并将其用在格式字符串中。

class Format {
??static Calendar c =
???new GregorianCalendar(1995, GregorianCalendar.MAY, 23);
??public static void main(String[] args) {??
????// args[0] is the credit card expiration date
????// args[0] can contain either %1$tm, %1$te or %1$tY as malicious
????// arguments
????// First argument prints 05 (May), second prints 23 (day)?
????// and third prints 1995 (year)
????// Perform comparison with c, if it doesn’t match print the?
????// following line
????System.out.printf(args[0] +?
????" did not match! HINT: It was issued on %1$terd of some month", c);
??}
}


        

          
        

        
        

          

          AI 代码解读

如果没有经过正确输入验证,攻击者通过在输入语句中包含以下参数之一:%1tm?te或?%1$tY,就可以判断验证中所用来和输入相对比的日期。

2.7.2 符合规则的方案

该方案能够保证用户产生的输入会被排除在格式字符串之外。

class Format {
??static Calendar c =?
????new GregorianCalendar(1995, GregorianCalendar.MAY, 23);
??public static void main(String[] args) {??
????// args[0] is the credit card expiration date
????// Perform comparison with c,?
????// if it doesn't match print the following line
????System.out.printf ("%s did not match! "
????????+ " HINT: It was issued on %1$terd of some month", args[0], c);
??}
}


        

          
        

        
        

          

          AI 代码解读

2.7.3 风险评估

image

自动化检测 完成污染分析的静态分析工具可以用来判断是否违背该规则。

2.7.4 相关规范

image

2.7.5 参考书目

image

文章标签:
Java
安全
JavaScript
关键词:
Java字符串
Java安全
Java格式
Java格式字符串
Java用户输入
华章计算机
+关注
10051文章
目录
打赏
0
0
0
0
1408
分享
相关文章
运营研究坊
|
10天前
|
存储 缓存 安全
Java 字符串详解
本文介绍了 Java 中的三种字符串类型:String、StringBuffer 和 StringBuilder,详细讲解了它们的区别与使用场景。String 是不可变的字符串常量,线程安全但操作效率较低;StringBuffer 是可变的字符串缓冲区,线程安全但性能稍逊;StringBuilder 同样是可变的字符串缓冲区,但非线程安全,性能更高。文章还列举了三者的常用方法,并总结了它们在不同环境下的适用情况及执行速度对比。
运营研究坊
52 17
智物科技库
|
10天前
|
存储 缓存 安全
Java字符串缓冲区
字符串缓冲区是用于处理可变字符串的容器,Java中提供了`StringBuffer`和`StringBuilder`两种实现。由于`String`类不可变,当需要频繁修改字符串时,使用缓冲区更高效。`StringBuffer`是一个线程安全的容器,支持动态扩展、任意类型数据转为字符串存储,并提供多种操作方法(如`append`、`insert`、`delete`等)。通过这些方法,可以方便地对字符串进行添加、插入、删除等操作,最终将结果转换为字符串。示例代码展示了如何创建缓冲区对象并调用相关方法完成字符串操作。
智物科技库
43 13
刘大猫.
|
4月前
|
SQL Java 索引
java小工具util系列2:字符串工具
java小工具util系列2:字符串工具
刘大猫.
182 83
源码星辰
|
1月前
|
人工智能 监控 安全
Java智慧工地(源码):数字化管理提升施工安全与质量
随着科技的发展,智慧工地已成为建筑行业转型升级的重要手段。依托智能感知设备和云物互联技术,智慧工地为工程管理带来了革命性的变革,实现了项目管理的简单化、远程化和智能化。
源码星辰
55 5
刘大猫.
|
4月前
|
Java 数据库
java小工具util系列1:日期和字符串转换工具
java小工具util系列1:日期和字符串转换工具
刘大猫.
92 26
Java开发者
|
4月前
|
存储 缓存 安全
java 中操作字符串都有哪些类,它们之间有什么区别
Java中操作字符串的类主要有String、StringBuilder和StringBuffer。String是不可变的,每次操作都会生成新对象;StringBuilder和StringBuffer都是可变的,但StringBuilder是非线程安全的,而StringBuffer是线程安全的,因此性能略低。
Java开发者
143 8
Java开发者
|
4月前
|
SQL 安全 Java
Java 异常处理:筑牢程序稳定性的 “安全网”
本文深入探讨Java异常处理,涵盖异常的基础分类、处理机制及最佳实践。从`Error`与`Exception`的区分,到`try-catch-finally`和`throws`的运用,再到自定义异常的设计,全面解析如何有效管理程序中的异常情况,提升代码的健壮性和可维护性。通过实例代码,帮助开发者掌握异常处理技巧,确保程序稳定运行。
Java开发者
88 2
yuanzhengme
|
4月前
|
Java
Java将OffsetDateTime格式化为 yyyy-MM-dd HH:mm:ss 如何写代码?
Java将OffsetDateTime格式化为 yyyy-MM-dd HH:mm:ss 如何写代码?
yuanzhengme
117 0
尊渊
|
安全 Java API
Java安全——安全管理器、访问控制器和类装载器
尊渊
6033 2
sea-boat
|
安全 Java
Java安全管理器
总的来说,Java安全应该包括两方面的内容,一是Java平台(即是Java运行环境)的安全性;二是Java语言开发的应用程序的安全性。
sea-boat
1379 0

华章出版社
+ 订阅

热门文章

最新文章

  • 1
    从理论到实践:使用JAVA实现RAG、Agent、微调等六种常见大模型定制策略
    9
  • 2
    深入理解Java锁升级:无锁 → 偏向锁 → 轻量级锁 → 重量级锁(图解+史上最全)
    12
  • 3
    JAVA接入DeepSeek大模型接口开发---阿里云的百炼模型
    43
  • 4
    JVM简介—1.Java内存区域
    32
  • 5
    Java实战:使用HttpClient实现图片下载与本地保存
    11
  • 6
    【源码】【Java并发】【线程池】邀请您从0-1阅读ThreadPoolExecutor源码
    8
  • 7
    Java语言位运算符详解
    9
  • 8
    课时3:Java简介(Java主要特点)
    8
  • 9
    【原理】【Java并发】【volatile】适合初学者体质的volatile原理
    4
  • 10
    2K star!三分钟搭建企业级后台系统,这款开源Java框架绝了!
    6
  • 1
    压测分析Java内存和CPU暂用
    120
  • 2
    怎么在Java 16中编写C风格的局部静态变量
    102
  • 3
    Java Selenium WebDriver:代理设置与图像捕获
    211
  • 4
    Java中的异常处理:深入理解try-with-resources语句
    222
  • 5
    Java内存模型深度探索
    25
  • 6
    day24:Java零基础 - 序列化与反序列化
    65
  • 7
    探索Java中的Lambda表达式及其对现代编程的影响
    58
  • 8
    JVM内存问题之在业务有损的情况下,遇到JAVA内存使用率高的问题,应该如何快速止损
    75
  • 9
    如何在Java中实现线程池?
    71
  • 10
    如何在Java中实现多线程的Socket服务器?
    126

    • 相关课程

    更多
  • Java面试疑难点解析 - 面试技巧及语言基础
  • Java面试疑难点解析 - Java Web开发
  • Java面试疑难点解析 - 系统架构及项目设计
  • Java编程入门
  • Java面向对象编程
  • Java高级编程

    • 相关电子书

    更多
  • Spring Cloud Alibaba - 重新定义 Java Cloud-Native
  • The Reactive Cloud Native Arch
  • JAVA开发手册1.5.0

    • 相关实验场景

    更多
  • 阿里云平台上进行Java程序的编译与运行
  • 使用Java面向对象编写网络通信程序应用
  • 手动部署Java Web环境(Alibaba Cloud Linux 2)
  • 搭建Java Web开发环境(Anolis OS)
  • RocketMQ中使用Java客户端发送消息和消费的应用
  • 部署基于Dragonwell的Java运行环境
    • 下一篇
    基于ECS搭建云上博客
    目录
    AI助理

    你好,我是AI助理

    可以解答问题、推荐解决方案等