本篇介绍了以下代码安全问题
1、Spring Boot配置错误:关闭执行器端点
2、过于宽松的跨文档消息目标
3、敏感信息泄露
4、JavaEE程序:不安全的GET请求
5、在Cookie中明文存储敏感信息
6、Android程序:遗留的调试代码
7、不安全的RFCOMM套接字
8、HTTP响应缓存泄露
9、Intent隐式调用
10、不安全的SSL:证书验证不充分
1、Spring Boot配置错误:关闭执行器端点
详细信息
当启用Spring Boot Shutdown Actuator
时,攻击者经过可能比较简单的身份验证后可以关闭应用程序。
例如:下列配置文件中启用了Spring Boot Shutdown Actuator
。
endpoints.shutdown.enabled=true
修复建议
不要启用Spring Boot Shutdown Actuator
。
2、过于宽松的跨文档消息目标
详细信息
HTML5的跨文档消息传递允许程序将消息发布到其他窗口,利用特定的 API可指定具体的目标窗口。 如果目标过于宽松,攻击者就能有可能与窗口进行通信,从而导致信息泄露,欺诈等其他攻击。
例如:下面代码片段中,采用了postWebMess