Java代码审计怎么做？

1.1 代码审计方式

审计之前&＃xff0c;创建一个核心问题清单&＃xff0c;包括安全漏洞&＃xff0c;身份验证问题。

授权问题,内存泄露和不良设计习惯之类的问题

跟踪 用户输入数据 和 敏感函数参数 回溯&＃xff0c;最为常用。

1.2 审计要点

1.密码硬编码 & 明文存储

2.命令注入

3.文件上传

关键词:

1.upload

2.MultipartFile

3.fileName

4.filePath

4.越权&＃xff0c;URL跳转

关键词:

1.sendRedirect

2.setHeader

3.forward

5.sql注入: select、Dao、from、delete、update、insert、createStatement

6.反序列化: readObject、readUnshared、JSON.parseObject

7.XSS: getParameter、param

8.XML注入: XMLStreamReader 、SAXReader、

1.3 审计工具

Fortify SCA 是一款静态应用程序安全性测试产品&＃xff0c;可供开发团队和安全专家分析源代码&＃xff0c;监测安全漏洞&＃xff0c;帮助开发人员更快更轻松地识别问题并排定问题优先级&＃xff0c;然后加以解决。