先说最基础的输入验证。现在还有人在用简单的字符串匹配做校验,这不是掩耳盗铃吗?正确的姿势是采用白名单机制,配合正则表达式做严格匹配。比如用户注册时用户名的校验,不能只检查长度,还要限制字符类型。我见过有个系统就是因为没做特殊字符过滤,导致存储型XSS漏洞,用户昵称里带了个script标签就把整个数据库污染了。
再说说序列化漏洞这个重灾区。Java的序列化机制简直就是安全噩梦,随便一个反序列化payload就能让服务端执行任意代码。现在比较靠谱的防护方案是采用白名单控制,使用ObjectInputFilter来限制反序列化的类。具体实现可以这样搞:
这行代码的意思是只允许反序列化com.securedapp包下的类,其他的一律拒绝。当然更彻底的解决方案是直接替换掉Java原生序列化,改用JSON或Protocol Buffers这些更安全的格式。
SQL注入这个老生常谈的问题,在2024年居然还能遇到。现在还有项目在用字符串拼接SQL语句,心是真大。PreparedStatement必须安排上,这是最基本的要求。不过光用PreparedStatement还不够,有些复杂的查询场景还是可能中招。建议上MyBatis这些ORM框架,再配合严格的参数校验,基本就能防住大部分注入攻击。
权限控制这块很多人容易忽略。光在前端做菜单权限控制就是自欺欺人,后端接口必须每个都加上权限校验。Spring Security是个不错的选择,但配置要细致。比如数据权限这块,不仅要检查用户是否能访问某个接口,还要检查他是否能操作特定的数据记录。举个例子,用户只能修改自己创建的文章,不能越权修改别人的。
最近遇到的几个漏洞都是因为依赖组件版本过老。比如某个项目用的Fastjson版本存在远程代码执行漏洞,攻击者直接通过精心构造的JSON字符串就能在服务器上执行命令。所以定期更新依赖库非常重要,建议在pom.xml里配置dependency-check-maven插件,自动检查安全漏洞。
日志安全也很关键。现在很多系统把用户的敏感信息直接打到日志里,包括密码、身份证号、银行卡号这些。一旦日志泄露,后果不堪设想。建议在日志配置里对敏感字段进行脱敏处理,比如把身份证号显示成"110105********1234"这种格式。
最后说说配置文件的安全问题。见过太多项目把数据库密码明文写在配置文件里,这是等着被拖库吗?至少要用加密算法对密码进行加密,更好的方案是使用专业的配置中心,配合密钥管理系统来做动态加解密。
安全这东西没有银弹,关键是要在开发过程中养成好的习惯。代码审查的时候多留个心眼,部署的时候做好安全加固,运行时开启安全监控。别等到被黑了才想起来要加固,那时候就晚了。