《Java代码审计 入门篇》Java代码审计入门篇避免使用Eval
书名:Java代码审计 入门篇
1
0
烈焰战士 2023-06-29 23:43:32
以前在写爬虫时,我还了解了一些安全知识,但现在接触得比较少。最近翻看了一些资料,也只算是了解了一些名词。
我记得当初学Python的时候,官方教程里有一句话让我印象深刻:Eval语句是不安全的。我感觉绝大多数安全漏洞,本质上都是因为给了用户执行Eval语句的机会。
具体来说,可能会执行Eval语句的有: 1. 你的代码(没有审核的Java反射、外部实体) 2. 有漏洞的反序列化工具 3. 用户的浏览器(XXS) 4. 或者任何奇怪的东西
甚至可以说,Eval语句是很广泛存在的。因此对于一个web服务来说,必须时刻对用户输入保持警惕,尽量将用户输入隔离在可执行Eval的语句之外。
相关推荐
120
102
萤火谷的梦想家
艾莉森•麦吉出生于1960年,是美国《纽约时报》畅销书作家,同时也是大都会州立大学创意写作课的教授。她的作品被翻译成20多种语言并出版,也曾被提名普利策奖,并获得苏斯博士奖金奖、克里斯托弗图书奖、美国 [美]艾莉森•麦吉/[美]克里斯托弗•丹尼斯/绘 2023-03-27 16:50:25
100
100
63
43
43
41
鬼马女神捕1·绝密卧底(上)
腹黑凤凰vs毒舌鸡妖——蓝翎:“小姬,跟我去人界吧!”姬十四:“干吗?让人宰了我做小鸡炖蘑菇吗?”蓝翎:“不啊,让妖怪宰了你做小鸡炖蘑菇更气派。”凤凰蓝翎和鸡妖姬十四生活在无忧无虑的灵界。他们的故乡叫 郝天晓 2023-04-17 00:22:47
38
发表评价