3502914视频|Java安全编码规则:Java串行化
安全编码专家RobertC.Seacord会指导开发人员理解Java串行化和固有的安全风险。Seacord还展示了如何安全地实现可串行化的类,以及如何评估移植策略和候选解决方案。
- 市场价:¥49.00
- 会员价:¥41.65(85折)1年有效
- 时长:1
- 评分:
(已有0条评价)
【插图】
目录
Java安全编码规则:引言
1.理解Java对象串行化
2.理解Java对象外部化
3.理解串行化安全风险
4.理解反串行化漏洞
5.为可串行化的类指定版本
6.不要串行化未加密的敏感数据
7.使用定制串行化形式
8.使用正确的串行化方法签名
9.不要在反串行化期间调用类似defaultReadObject的可覆盖的方法
10.反串行化时维持不变式
11.防御性地写readObject方法
12.使用enum类型实现实例控制
13.使用串行化代理而不是串行化的实例
14.不要串行化内部类
15为可串行化和可外部化的类添加readObjectNoData方法
16.S签名并密封对象
17.避免扩展实现了Serializable的类或接口
18.使用LAOIS缓解反串行化漏洞
19为串行化和反串行化应用合适的安全权限
1.理解Java对象串行化
2.理解Java对象外部化
3.理解串行化安全风险
4.理解反串行化漏洞
5.为可串行化的类指定版本
6.不要串行化未加密的敏感数据
7.使用定制串行化形式
8.使用正确的串行化方法签名
9.不要在反串行化期间调用类似defaultReadObject的可覆盖的方法
10.反串行化时维持不变式
11.防御性地写readObject方法
12.使用enum类型实现实例控制
13.使用串行化代理而不是串行化的实例
14.不要串行化内部类
15为可串行化和可外部化的类添加readObjectNoData方法
16.S签名并密封对象
17.避免扩展实现了Serializable的类或接口
18.使用LAOIS缓解反串行化漏洞
19为串行化和反串行化应用合适的安全权限
