33安全开发-JavaEE应用

思维导图

见 22安全开发

知识点：

• 29、JavaEE-JDBC-SQL预编译
• 30、JavaEE-HTTP-Filter过滤器
• 31、JavaEE-对象域-Listen监听器

章节点

• 1、PHP：
  功能：新闻列表，会员中心，资源下载，留言版，后台模块，模版引用，框架开发等
  技术：输入输出，超全局变量，数据库操作，逻辑架构，包含上传&下载删除;
  技术：JS&CSS混用，Cookie,Session操作，MVC架构，ThinkPHP引用等。
  安全：原生PHP开发安全，模版引用安全，第三方插件安全，TP框架安全等
• 2、JS：
  功能：登录验证，文件操作，SQL操作，云应用接入，框架开发，打包器使用等
  技术：原生开发，DOM，常见库使用，框架开发（Vue，NodeJS），打包器(Webpack)等
  安全：原生开发安全，NodeJS安全，Vue安全，打包器Webpack安全，三方库安全问题等
• 3、Java：
  功能：数据库操作，文件操作，序列化数据，身份验证，框架开发，第三方库使用等.
  框架库：MyBatis，SpringMVC，SpringBoot，Shiro，Log4j，FastJson等
  技术：Servlet，Listen，Filter，Interceptor，JWT，AOP，待补充
  安全：SQL注入，RCE执行，反序列化，脆弱验证，未授权访问，待补充
  安全：原生开发安全，第三方框架安全，第三方库安全等，待补充

JavaEE-预编译-SQL

预编译SQL语句并执行,预防SQL注入问题 
String safesql="select * from news where id=?"; 
PreparedStatement preparedStatement=connection.prepareStatement();
preparedStatement.setString(1,s);
ResultSet resultSet=preparedStatement.executeQuery();

JavaEE-过滤器-Filter

(和安全相关的技术：内存马，权限控制)
        Filter被称为过滤器，过滤器实际上就是对Web资源进行拦截，做一些处理后再交给下一个过滤器或Servlet处理，通常都是用来拦截request进行处理的，也可以对返回的 response进行拦截处理。开发人员利用filter技术，可以实现对所有Web资源的管理，例如实现权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。

• 1、创建过滤器
• 2、过滤器内置方法
  init doFilter destroy
• 3、过滤器触发流程

  @WebFilter("/xss")
  <filter>
      <filter-name>xssFilter</filter-name>
      <filter-class>com.example.filter.xssFilter</filter-class>
  </filter>
  <filter-mapping>
      <filter-name>xssFilter</filter-name>
      <url-pattern>/xss</url-pattern>
  </filter-mapping>

• 4、过滤器安全场景
  Payload检测，权限访问控制，红队内存马植入，蓝队清理内存马等
  内存马参考：https://mp.weixin.qq.com/s/hev4G1FivLtqKjt0VhHKmw

JavaEE-监听器-Listen

参考：https://blog.csdn.net/qq_52797170/article/details/124023760

• 监听ServletContext、HttpSession、ServletRequest等域对象创建和销毁事件
• 监听域对象的属性发生修改的事件
• 监听在事件发生前、发生后做一些必要的处理
  1、创建监听器
  2、监听器内置方法
  3、监听器触发流程

  @WebListener
  <listener>
      .......
  </listener>

  4、监听器安全场景
  代码审计中分析执行逻辑触发操作，红队内存马植入，蓝队清理内存马等