基于Java关键词审计技巧？老男孩网络安全原理与实践

网络安全学习中，源代码审计是较为重要的一项。源代码审计分为白盒、黑盒、灰盒。审计方法也有多种。但是基于关键词审计技巧有什么？是很多人都想了解的。看老男孩教育网络安全培训怎么说。

　　以下是基于php审计关键词审计技巧总结：

　　在搜索时要注意是否为整个单词，以及小写敏感这些设置

　　java审计

　　密码硬编码、密码明文存储：

　　password、pass、jdbc

　　XSS：

　　getParamter、<%=、param.

　　任意文件下载：

　　download、fileName、filePath、write、getFile、getWriter

　　任意文件删除：

　　Delete、deleteFile、fileName、filePath

　　文件上传：

　　Upload、write、fileName、filePath

　　命令注入：

　　getRuntime、exec、cmd、shell

　　缓冲区溢出：

　　strcpy,strcat,scanf,memcpy,memmove,memeccpy，Getc（），fgetc（），getchar;read,printf

　　XML注入：

　　DocumentBuilder、XMLStreamReader、SAXBuilder、SAXParser SAXReader、XMLReader SAXSource、TransformerFactory、SAXTransformerFactory、SchemaFactory

　　反序列化漏洞：

　　ObjectInputStream.readObject、ObjectInputStream.readUnshared、XMLDecoder.readObject Yaml.load、XStream.fromXML、ObjectMapper.readValue、JSON.parseObject

　　url跳转：

　　sendRedirect、setHeader、forward

　　不安全组件暴露：

　　activity、Broadcast Receiver、Content Provider、Service、inter-filter

　　日志记录敏感信息：

　　log log.info logger.info

　　代码执行：

　　eval、system、exec

　　工具局限性：

　　工具本身存在一定量的误报或者漏报。

　　扫描结果需要大量人工确定甄别。

　　如用多种语言开发的软件，则需单独分析。

　　使用工具缺乏规范化的编码规范。

　　不能自动收集常见的代码安全问题。

　　以上便是源代码审计基于php审计关键词审计技巧的学习内容分享。更多网络安全学习，推荐关注老男孩网络安全培训课程。老男孩网络安全课程，全程面授教学，理论与实战相结合，定期考试检测学习成果，查漏补缺，帮助学员高效学习掌握网络安全技能。

注意：吐槽知乎网只是一个问答与文章免费发布平台，所有信息均有会员免费发布，不产生金钱交易，如果你有资金往来，请及时通过电话与对方联系，调查清楚，确认无误在选择，否则造成你的损失，由自己承担，本平台概不负责，谢谢！