基於Java關鍵詞審計技巧？網路安全原始碼審計

　　網路安全學習中，原始碼審計是較為重要的一項。原始碼審計分為白盒、黑盒、灰盒。審計方法也有多種。但是基於關鍵詞審計技巧有什麼？是很多人都想了解的。

　　以下是基於Java審計關鍵詞審計技巧總結：

　　在搜尋時要注意是否為整個單詞，以及小寫敏感這些設定

　　java審計

　　密碼硬編碼、密碼明文儲存：

　　password、pass、jdbc

　　XSS：

　　getParamter、<%=、param.

　　任意檔案下載：

　　download、fileName、filePath、write、getFile、getWriter

　　任意檔案刪除：

　　Delete、deleteFile、fileName、filePath

　　檔案上傳：

　　Upload、write、fileName、filePath

　　命令注入：

　　getRuntime、exec、cmd、shell

　　緩衝區溢位：

　　strcpy,strcat,scanf,memcpy,memmove,memeccpy，Getc（），fgetc（），getchar;read,printf

　　XML注入：

　　DocumentBuilder、XMLStreamReader、SAXBuilder、SAXParser SAXReader、XMLReader SAXSource、TransformerFactory、SAXTransformerFactory、SchemaFactory

　　反序列化漏洞：

　　ObjectInputStream.readObject、ObjectInputStream.readUnshared、XMLDecoder.readObject Yaml.load、XStream.fromXML、ObjectMapper.readValue、JSON.parseObject

　　url跳轉：

　　sendRedirect、setHeader、forward

　　不安全元件暴露：

　　activity、Broadcast Receiver、Content Provider、Service、inter-filter

　　日誌記錄敏感資訊：

　　log log.info logger.info

　　程式碼執行：

　　eval、system、exec

　　工具侷限性：

　　工具本身存在一定量的誤報或者漏報。

　　掃描結果需要大量人工確定甄別。

　　如用多種語言開發的軟體，則需單獨分析。

　　使用工具缺乏規範化的編碼規範。

　　不能自動收集常見的程式碼安全問題。

　　以上便是原始碼審計基於Java審計關鍵詞審計技巧的學習內容分享。