Java 安全規(guī)約

\1. 【強制】隸屬于用戶個人的頁面或者功能必須進行權(quán)限控制校驗。

說明：防止沒有做水平權(quán)限校驗就可隨意訪問、修改、刪除別人的數(shù)據(jù)，比如查看他人的私信內(nèi)容。

\2. 【強制】用戶敏感數(shù)據(jù)禁止直接展示，必須對展示數(shù)據(jù)進行脫敏。

說明：中國大陸個人手機號碼顯示：139****1219，隱藏中間 4 位，防止隱私泄露。

\3. 【強制】用戶輸入的 SQL 參數(shù)嚴(yán)格使用參數(shù)綁定或者 METADATA 字段值限定，防止 SQL 注入，禁止字符串拼接 SQL 訪問數(shù)據(jù)庫。

反例：某系統(tǒng)簽名大量被惡意修改，即是因為對于危險字符 # --沒有進行轉(zhuǎn)義，導(dǎo)致數(shù)據(jù)庫更新時，where 后邊的信息被注釋掉，對全庫進行更新。

\4. 【強制】用戶請求傳入的任何參數(shù)必須做有效性驗證。

說明：忽略參數(shù)校驗可能導(dǎo)致：

? page size 過大導(dǎo)致內(nèi)存溢出

? 惡意 order by 導(dǎo)致數(shù)據(jù)庫慢查詢

? 緩存擊穿

? SSRF

? 任意重定向

? SQL 注入，Shell 注入，反序列化注入

? 正則輸入源串拒絕服務(wù) ReDoS

Java 代碼用正則來驗證客戶端的輸入，有些正則寫法驗證普通用戶輸入沒有問題，但是如果攻擊人員使用的是特殊構(gòu)造的字符串來驗證，有可能導(dǎo)致死循環(huán)的結(jié)果。

\5. 【強制】禁止向 HTML 頁面輸出未經(jīng)安全過濾或未正確轉(zhuǎn)義的用戶數(shù)據(jù)。

\6. 【強制】表單、AJAX 提交必須執(zhí)行 CSRF 安全驗證。

說明：CSRF(Cross-site request forgery)跨站請求偽造是一類常見編程漏洞。對于存在 CSRF 漏洞的應(yīng)用/

網(wǎng)站，攻擊者可以事先構(gòu)造好 URL，只要受害者用戶一訪問，后臺便在用戶不知情的情況下對數(shù)據(jù)庫中用戶參數(shù)進行相應(yīng)修改。

\7. 【強制】URL 外部重定向傳入的目標(biāo)地址必須執(zhí)行白名單過濾。

\8. 【強制】在使用平臺資源，譬如短信、郵件、電話、下單、支付，必須實現(xiàn)正確的防重放的機制，如數(shù)量限制、疲勞度控制、驗證碼校驗，避免被濫刷而導(dǎo)致資損。

說明：如注冊時發(fā)送驗證碼到手機，如果沒有限制次數(shù)和頻率，那么可以利用此功能騷擾到其它用戶，并造成短信平臺資源浪費。

\9. 【推薦】發(fā)貼、評論、發(fā)送即時消息等用戶生成內(nèi)容的場景必須實現(xiàn)防刷、文本內(nèi)容違禁詞過濾等風(fēng)控策略。