Java是目前世界上最安全、最流行的編程語(yǔ)言之一。自20世紀(jì)90年代中期以來(lái)，尤其是在設(shè)法消除了C和C++語(yǔ)言的許多安全隱患和漏洞之后，它一直獲得了良好的聲譽(yù)。對(duì)Java感興趣的同學(xué)，可以參加Java培訓(xùn)來(lái)獲得知識(shí)和技能，以便快速上崗。

然而，成為最安全的編碼語(yǔ)言并不能使Java編碼免受可能的網(wǎng)絡(luò)安全威脅。開發(fā)人員仍然必須提供安全的代碼，并確保他們的應(yīng)用程序是萬(wàn)無(wú)一失的，即使他們是用Java特性開發(fā)的。這10個(gè)技巧將隨時(shí)派上用場(chǎng)，以確保Java特性的應(yīng)用程序安全性:

1.在Pi平臺(tái)上使用JavaME

如果你使用RaspberryPi4作為設(shè)計(jì)Java應(yīng)用程序的平臺(tái)，在你的Pi上安裝JavaME將使你能夠輕松嵌入、測(cè)試和調(diào)整應(yīng)用程序的安全功能，即使是對(duì)于內(nèi)存空間或磁盤占用較小的設(shè)備也是如此。JavaME是用基于CLDC的運(yùn)行時(shí)構(gòu)建的，允許它在內(nèi)存高度受限的設(shè)備上運(yùn)行(低至1MB)。如果你的設(shè)備具有10MB或更大的內(nèi)存容量，則需要具有基于CDC的運(yùn)行時(shí)的JavaME。只需確保你用于開發(fā)應(yīng)用程序的JavaME版本是專門為RaspberryPi構(gòu)建的。

2.避免復(fù)雜和混亂的編碼

序列化很有用，因?yàn)樗试SJava程序員將遠(yuǎn)程輸入/對(duì)象轉(zhuǎn)換為可傳輸?shù)淖止?jié)流，然后這些字節(jié)流可以作為完全賦予的對(duì)象保存到磁盤。這個(gè)過(guò)程可以反轉(zhuǎn)(通過(guò)Java反序列化)，從保存的字節(jié)流中重新創(chuàng)建原始對(duì)象。想掌握J(rèn)ava技術(shù)的同學(xué)不妨報(bào)個(gè)Java培訓(xùn)班，可以節(jié)省學(xué)習(xí)時(shí)間，提高學(xué)習(xí)效率，在短時(shí)間內(nèi)學(xué)有所成，還能找到一份不錯(cuò)的工作。

然而，Java反序列化可能很容易受到攻擊，因?yàn)樵诮獯a之前，無(wú)法從保存的字節(jié)流中判斷原始對(duì)象是什么。這意味著，如果攻擊者將序列化的惡意對(duì)象發(fā)送到你的應(yīng)用程序，你必須先對(duì)其進(jìn)行解碼，此時(shí)你已經(jīng)實(shí)例化了它。未知數(shù)據(jù)將已經(jīng)在JVM中運(yùn)行代碼。

如果可以刪除類路徑上的漏洞，這些攻擊是可以預(yù)防的。問(wèn)題是，Java庫(kù)和第三方庫(kù)中有大量的類，再加上你自己代碼中的類，幾乎不可能保證類路徑中沒有易受攻擊的類。

3.加密數(shù)據(jù)

有大量的開源庫(kù)，其中包含大量專門用于Java開發(fā)的類定義(預(yù)先編寫的代碼)。它們包括日志庫(kù)(例如Log4j、SLF4j、LogBack)、解析庫(kù)(例如JSON)和通用庫(kù)(例如GoogleGuava和ApacheCommons庫(kù))等。

但并不是所有的庫(kù)都是安全的。為了確保庫(kù)的可靠性，請(qǐng)考慮：

l它的文件。如果它的文檔記錄不好，那么它可能就不安全。

l它背后是否有一個(gè)積極的支持團(tuán)體;也許是一個(gè)開發(fā)者論壇，你可以在那里獲得幫助?

l應(yīng)用程序編程接口(API)文檔是如何編制的?

l庫(kù)是否正在積極開發(fā)中?如果是，它的穩(wěn)定性/精簡(jiǎn)程度如何?

4.使用查詢參數(shù)化

注入是當(dāng)今最常見的應(yīng)用程序漏洞之一。入侵者使用Java中典型的SQL注入將SQL查詢鏈接在一個(gè)鏈中，導(dǎo)致SQL執(zhí)行不安全。你可以使用查詢參數(shù)化來(lái)阻止它。這些參數(shù)阻止入侵者訪問(wèn)查詢的靜態(tài)部分，因此他們無(wú)法獲得關(guān)鍵的應(yīng)用程序信息。在java培訓(xùn)中，有更加系統(tǒng)全面的課程，明確清晰的學(xué)習(xí)路線，學(xué)習(xí)起來(lái)既輕松，又高效。

為了防止Java中的注入，程序員準(zhǔn)備了一個(gè)語(yǔ)句，最終用戶必須使用該語(yǔ)句來(lái)訪問(wèn)應(yīng)用程序的數(shù)據(jù)庫(kù)。如果用戶沒有通過(guò)這個(gè)預(yù)先存在的語(yǔ)句創(chuàng)建查詢，那么應(yīng)用程序就會(huì)知道執(zhí)行SQL是不安全的。簡(jiǎn)單地說(shuō)，查詢參數(shù)化意味著定義應(yīng)用程序的完整SQL代碼和安全查詢的參數(shù)。它將SQL代碼與參數(shù)數(shù)據(jù)分離，這樣查詢就不會(huì)被劫持。

5.使用高級(jí)身份驗(yàn)證

身份驗(yàn)證機(jī)制可能會(huì)影響或破壞應(yīng)用程序的安全性。如果身份驗(yàn)證較弱，則你的應(yīng)用程序?qū)⒁资芄?，反之亦然。作為開發(fā)人員和用戶，你需要使用強(qiáng)密碼來(lái)保護(hù)應(yīng)用程序數(shù)據(jù)。但是，由于一些用戶可能會(huì)對(duì)自己的密碼感到魯莽，作為一名應(yīng)用程序開發(fā)人員，你的工作就是制定一項(xiàng)密碼策略，迫使用戶對(duì)自己的口令保持警惕。

另一種確保用戶魯莽不會(huì)危及應(yīng)用程序可信度的方法是盡量減少應(yīng)用程序中敏感數(shù)據(jù)的存儲(chǔ)。你甚至可以讓用戶無(wú)法將其機(jī)密數(shù)據(jù)保存在你的服務(wù)器中。

專業(yè)提示：高級(jí)身份驗(yàn)證還意味著最大限度地減少對(duì)日志的依賴。確保用戶可以訪問(wèn)你的內(nèi)容，而無(wú)需一直登錄，即使在登錄時(shí)，他們的登錄憑據(jù)也會(huì)自動(dòng)刪除。想學(xué)習(xí)更多Java知識(shí)和技能，建議參加java培訓(xùn)，課程實(shí)時(shí)更新，緊跟市場(chǎng)和企業(yè)，讓你學(xué)到最新的java技能，提高市場(chǎng)競(jìng)爭(zhēng)力。

6.安裝篡改檢測(cè)功能

有多種Java功能可以幫助你盡早檢測(cè)和阻止任何篡改企圖。此類篡改檢測(cè)功能將提醒你，以防有人試圖修改或更改你的代碼。請(qǐng)注意，惡意程序員總是試圖將壞代碼注入到你的應(yīng)用程序中，這樣他們就可以為你破壞應(yīng)用程序或竊取數(shù)據(jù)。

7.配置XML解析器

這將幫助你防止應(yīng)用程序的外部實(shí)體(XXE)。有時(shí)入侵者會(huì)創(chuàng)建惡意XML，并使用它們讀取應(yīng)用程序中選定文件中的內(nèi)容。請(qǐng)注意，XXE攻擊是Java編程中最常見的漏洞之一。入侵者所需要的只是一個(gè)自己的JavaSAX解析器和一個(gè)天真的XML解析器實(shí)現(xiàn)，它們可以輕松地解析你的XML文件。

8.使用VPN保護(hù)數(shù)據(jù)

知名的VPN服務(wù)將使你的應(yīng)用程序數(shù)據(jù)受到密碼保護(hù)。入侵者將無(wú)法竊取、復(fù)制或共享你的數(shù)據(jù)。

9.利用Java安全管理器

Java安全管理器允許你配置自己的安全策略。你可以使用它來(lái)創(chuàng)建:

l黑名單：此列表包含你的應(yīng)用程序不允許的操作。不在此列表中的所有內(nèi)容都是允許的。因此，你需要了解你的應(yīng)用程序的所有潛在安全威脅，并將它們列入黑名單。

l白名單：這個(gè)名單只包含應(yīng)用程序允許的操作。默認(rèn)情況下，不在此列表中的所有操作都是不允許的。

創(chuàng)建你自己的策略文件并有權(quán)限制必要的權(quán)限，這使你可以輕松地運(yùn)行應(yīng)用程序。Java安全管理器基本上讓你負(fù)責(zé)應(yīng)用程序的安全性和漏洞。參加以實(shí)戰(zhàn)項(xiàng)目為主要教學(xué)方法的Java培訓(xùn)，可以有效地縮短同企業(yè)具體用人需求之間的差距，快速提升自己。

10.全面的質(zhì)量評(píng)估會(huì)有所幫助

在啟動(dòng)你的應(yīng)用程序之前，先測(cè)試它是否存在安全漏洞。還不如自己去發(fā)現(xiàn)安全漏洞。請(qǐng)注意，你的應(yīng)用程序的成功取決于最終用戶的滿意度，除非用戶的數(shù)據(jù)是安全的，否則用戶不會(huì)滿意。

結(jié)論

Java平臺(tái)帶有大量經(jīng)過(guò)測(cè)試和驗(yàn)證的內(nèi)置安全特性。這種語(yǔ)言也經(jīng)常針對(duì)新的安全漏洞進(jìn)行更新;它包括各種用于檢測(cè)和報(bào)告安全問(wèn)題的工具。也就是說(shuō)，在Java上開發(fā)你的應(yīng)用，會(huì)省去你很多應(yīng)用安全的麻煩。

記住這一點(diǎn)，今天的現(xiàn)實(shí)是，即使你在編碼過(guò)程中遵循了所有的應(yīng)用程序安全提示，也不可能勝過(guò)世界上所有的黑客。不管你認(rèn)為它們有多安全，總有人會(huì)找到繞過(guò)你的代碼的方法。這就是為什么不斷改進(jìn)你的應(yīng)用程序的安全特性和重新想象可能的漏洞是很重要的。投資安全管理解決方案也很重要，這樣你就可以捕捉漏洞并實(shí)時(shí)解決它們。通過(guò)java培訓(xùn)學(xué)習(xí)，有系統(tǒng)規(guī)范的課程和明確清晰的學(xué)習(xí)路線，讓你快速掌握java更多知識(shí)和技能。