JAVA コア セキュリティ プログラミング実践ガイド

Java は現在最も広く使用されているプログラミング言語の 1 つであり、クロスプラットフォーム、安全性、信頼性、メンテナンスが容易であるという利点があります。しかし、Java アプリケーションはインターネット上に広く存在するため、サイバー攻撃の主なターゲットの 1 つとなっています。したがって、Java プログラムを開発するときは、プログラムの安全性と信頼性を確保するために、安全なプログラミングの実践に注意を払う必要があります。

この記事では、セキュリティ プログラミングの基本、暗号化、防御的プログラミング、コード監査などを含む、Java のコア セキュリティ プログラミングの実践について説明し、具体的なコード例を示します。

1. セキュア プログラミングの基本

1. 入力検証

入力検証は、Java セキュア プログラミングにおける重要な概念、つまりユーザー入力を受け取る前に行われます。 data 、データを検証してフィルタリングします。これは、SQL インジェクション、クロスサイト スクリプティング (XSS)、クロスサイト リクエスト フォージェリ (CSRF) などの攻撃を防ぐのに役立ちます。入力検証を実装するメソッドには、正規表現、特殊な入力検証ライブラリなどが含まれます。

コード例:

// 对手机号进行验证
Pattern pattern = Pattern.compile("^1[3|4|5|7|8]\d{9}$");
Matcher matcher = pattern.matcher(phoneNumber);
if(matcher.matches()){
    // 如果验证通过，执行相应操作
}else{
    // 如果验证不通过，抛出异常或进行其他错误处理
}

2. 権限管理

権限管理では、プログラム内のどのリソースに誰がアクセスできるかを制御できます。 Java では、Spring Security などのフレームワークを使用して権限管理を実装できます。

コード例:

// 在Controller中使用Spring Security进行权限管理
@PreAuthorize("hasRole('admin')")
@RequestMapping(value = "/delete/{id}", method = RequestMethod.DELETE)
public void delete(@PathVariable Integer id) {
    // 执行删除操作
}

3. セキュリティ ヘッダー

HTTP ヘッダーには、ブラウザ、サーバー、および接続に関する情報を含めることができます。正しいセキュリティ ヘッダーを設定することで、クリックジャッキングや CORS 攻撃などの一部の攻撃を防ぐことができます。一般的に使用されるセキュリティ ヘッダーには、X-Frame-Options、X-XSS-Protection、Content-Security-Policy などが含まれます。

コード例:

// 在Spring中设置安全标头
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.headers()
            .frameOptions().sameOrigin()
            .xssProtection().block(false)
            .contentSecurityPolicy("default-src 'self'");
    }
}

2. 暗号化

暗号化は、暗号化、ハッシュ、デジタル署名技術など、情報セキュリティを保護する重要な分野です。 Java で一般的に使用される暗号化実装には、BouncyCastle および Java Cryptography Extension (JCE) が含まれます。

1. 暗号化

暗号化は、権限のない者によるアクセスからデータを保護するために、プレーン テキストを暗号テキストに変換するプロセスです。 Java で一般的に使用される暗号化アルゴリズムには、AES、DES、RSA などが含まれます。

コード例:

// 使用AES加密数据
SecretKey secret = new SecretKeySpec(keyBytes, "AES");
Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
cipher.init(Cipher.ENCRYPT_MODE, secret);
byte[] encryptedBytes = cipher.doFinal(plainText.getBytes("UTF-8"));

2. ハッシュ

ハッシュとは、あらゆるサイズのデータ​​を不可逆的に変換するプロセスです。 Java で一般的に使用されるハッシュ アルゴリズムには、MD5、SHA-1、SHA-256 などが含まれます。

コード例:

// 使用SHA-256哈希数据
MessageDigest md = MessageDigest.getInstance("SHA-256");
md.update(data.getBytes("UTF-8"));
byte[] hashBytes = md.digest();

3. デジタル署名

デジタル署名は、秘密キーを使用して情報を暗号化し、情報の整合性と認証を保証することです。 。 Java では、一般的に使用されるデジタル署名アルゴリズムには RSA と DSA があります。

コード例:

// 使用RSA对数据进行数字签名
PrivateKey privateKey = getPrivateKey();
Signature signature = Signature.getInstance("SHA256withRSA");
signature.initSign(privateKey);
signature.update(data.getBytes("UTF-8"));
byte[] signatureBytes = signature.sign();

3. 防御的プログラミング

防御的プログラミングとは、セキュリティの抜け穴を防ぐために、コードを記述する際に起こり得る攻撃を考慮したプログラミング手法です。 Java で一般的に使用される防御的なプログラミング手法には、パラメータ チェック、例外処理、ロギングなどがあります。

1. パラメータのチェック

操作を実行する前に、入力されたパラメータを検証してチェックする必要があります。パラメーターをチェックすると、ヌル ポインター例外、境界外アクセスなどの一部のセキュリティ ホールを防ぐことができます。

コード サンプル:

// 对方法参数进行检查
public void operation(String data) {
    if (data == null || data.isEmpty()) {
        throw new IllegalArgumentException("data不能为空");
    }
    // 执行相应操作
}

2. 例外処理

例外を処理する場合、デバッグとトラブルシューティングの処理を改善するために、例外情報をログに記録する必要があります。同時に、異常な情報を外部に返す場合は、機密情報を返すことは避けるべきです。

コードサンプル:

// 在异常处理中记录日志并返回友好的错误信息
try {
    // 执行相应操作
} catch (Exception e) {
    logger.error("操作失败", e);
    throw new RuntimeException("操作失败，请稍后再试");
}

3. ログ記録

プログラムにログインすると、開発者がプロ​​グラムの動作をより深く理解し、セキュリティの特定と修正に役立ちます。脆弱性。ログインするときは、パスワードやクレジット カード番号などの機密情報を書き込まないようにしてください。

コード サンプル:

// 记录日志
logger.info("用户{}尝试登录，结果为{}", username, result);

4. コード監査

コード監査は、アプリケーションの潜在的なセキュリティ脆弱性をチェックする方法です。 Java コード監査を実施するときは、入力検証、SQL インジェクション、XSS 攻撃、ファイルのインクルード、権限管理などに焦点を当てる必要があります。

1. 入力検証

Java コード監査を実施する場合、入力検証は最も重要な部分です。入力検証をチェックするときは、GET、POST リクエスト、Cookie などを含むすべてのユーザー入力に注意を払う必要があります。

2. SQL インジェクション

SQL インジェクションは一般的な攻撃手法であり、Java コード監査でも特別な注意が必要です。 SQL クエリ、SQL 更新、ストアド プロシージャなどに SQL インジェクションの脆弱性がないかチェックする必要があります。

3. XSS 攻撃

XSS 攻撃は、Web アプリケーションに悪意のあるスクリプトを挿入することによってユーザーを攻撃する方法です。 Java コード監査では、すべてのユーザー入力をチェックし、悪意のあるスクリプトがないか検証する必要があります。

4. ファイル インクルージョン

ファイル インクルージョンとは、ファイルを参照して予期しないファイルの内容を表示または実行し、それによってシステムを攻撃することを指します。 Java コード監査では、コード システム内のすべてのファイル インクルード ポイント、特にユーザーが入力したパスを使用するファイル インクルードをチェックする必要があります。

5. 権限管理

Java コード監査では、すべての権限管理、特にユーザー入力データが含まれる可能性のあるすべてのコードをチェックする必要があります。任意のファイルアップロードの脆弱性など、正しく処理されていないユーザー入力をチェックします。

要約すると、Java コア セキュリティ プログラミングの実践には、セキュリティ プログラミングの基本、暗号化、防御的プログラミング、コード監査などが含まれる必要があります。上記では、安全なプログラミングには常にリスクがあり、新しいセキュリティの脅威や脆弱性に常に適応する必要があることに注意しながら、いくつかの具体的なプログラミングの実践とコード例を示しています。したがって、Java コードを作成するときは、プログラムの安全性と信頼性を確保するために、安全なプログラミングの実践に常に注意を払う必要があります。

以上がJAVA コア セキュリティ プログラミング実践ガイドの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。