使用準備序列和參數(shù)化查詢來防止注射； 2。使用強密碼哈希和MFA實施彈簧安全，以進行安全身份驗證； 3。使用@preauthorize和拒絕默認訪問控制執(zhí)行RBAC； 4。使用帶有安全密鑰管理的AES-256在TLS 1.2中加密數(shù)據(jù)和靜止?fàn)顟B(tài)； 5。通過禁用調(diào)試模式，設(shè)置CSP和HST等安全標頭以及集中秘密來硬化配置； 6。通過使用OWASP Java編碼器逃脫輸出並使用胸腺毛細管等自動排列模板來防止XS； 7。通過驗證和白名單，阻止內(nèi)部IP並隔離後端網(wǎng)絡(luò)來減輕SSRF； 8。通過OWASP依賴性檢查或SNYK和自動更新的定期掃描來安全依賴關(guān)係； 9.通過記錄異常安全處理錯誤而不露出堆棧痕跡並避免在日誌中避免使用PII； 10。使用@VALID，速率限制，DTO，最小數(shù)據(jù)暴露的DTO和基於JWT的身份驗證，通過輸入驗證進行保護；此外，使用Spring Boot的安全默認值，使用Sonarqube和Owasp Zap等工具進行定期安全測試，遵循最小的特權(quán)，並保持所有軟件更新以防禦Java Web應(yīng)用程序中的OWASP前10個風(fēng)險。

確保針對OWASP前十名漏洞確保Java Web應(yīng)用程序需要結(jié)合安全的編碼實踐，適當(dāng)?shù)呐渲靡约艾F(xiàn)代框架和工具的使用。以下是實用，可行的步驟，以防止在基於Java的環(huán)境中針對當(dāng)前的OWASP前10名（2021）風(fēng)險。

1。防止注射（例如SQL，命令，LDAP）

當(dāng)將不信任的數(shù)據(jù)發(fā)送給解釋器作為命令或查詢的一部分時，就會發(fā)生注射缺陷。

如何保護：

• 使用已準備好的語句或參數(shù)化查詢
  切勿將用戶輸入到SQL查詢中。使用PreparedStatement ：

  字符串sql =“從用戶select * username =？” select *。
  準備的pstmt = connection.preparestatement（sql）;
  PSTMT.SetString（1，用戶名）;

• 安全使用ORM框架
  如果您避免使用String串聯(lián)的HQL查詢，那麼Hibernate或JPA是安全的。使用名為參數(shù)：

  

  查詢<user> query = session.createquery（“從use u where u.email =：email”，user.class）;
  QUERY.SETPARAMETER（“電子郵件”，用戶郵件）;

• 驗證和消毒輸入
  使用Hibernate驗證器（ @Pattern ， @Email ）等庫來執(zhí)行輸入格式。

2。安全驗證並管理身份

損壞的身份驗證可以允許攻擊者損害密碼，密鑰或令牌。

如何保護：

• 使用已建立的身份驗證庫
  避免滾動自己的身材。使用Spring Security或OAuth2/OpenID連接通過Spring Security Oauth或KeyCloak等庫。

• 執(zhí)行強密碼策略
  需要最小長度，複雜性並使用BCRypt，Scrypt或PBKDF2進行哈希：

   bcryptpasswordencoder encoder = new bcryptpasswordencoder（）;
  字符串hashed = encoder.encode（rawPassword）;

• 實施多因素身份驗證（MFA）
  使用TOTP或SMS/電子郵件驗證添加額外的層。

• 安全會話管理
  登錄後，請使用安全的，僅HTTP的cookie和再生會話ID。

3。防止損壞的訪問控制

訪問控制執(zhí)行用戶只能訪問其授權(quán)的內(nèi)容。

如何保護：

• 強制基於角色的訪問控制（RBAC）
  使用彈簧安全註釋：

   @preauthorize（“ hasrole（'admin'）”）
  public void deleteuser（長ID）{...}

• 永遠不要依靠隱藏URL
  即使UI隱藏了選項，始終檢查權(quán)限服務(wù)器端。

• 默認情況下拒絕
  明確定義允許的動作；假設(shè)所有其他人都是禁止的。

4。加密敏感數(shù)據(jù)（加密故障）

在沒有適當(dāng)加密的情況下存儲或傳輸敏感數(shù)據(jù)會導(dǎo)致暴露。

如何保護：

• 始終使用https
  生產(chǎn)中執(zhí)行TLS 1.2。使用諸如讓我們加密證書之類的工具。

• 靜止加密敏感數(shù)據(jù)
  使用強算法（AES-256）並安全地管理密鑰（例如，使用AWS KMS或Hashicorp Vault）。

• 避免使用弱算法
  不要使用MD5，SHA-1或DES。使用SHA-256和AES。

• 不要存儲不需要的東西
  最大程度地減少敏感數(shù)據(jù)的收集和保留（例如，密碼，SSN）。

5。安全配置（安全性錯誤）

默認設(shè)置，詳細錯誤或未使用的功能公開系統(tǒng)。

如何保護：

• 硬化您的環(huán)境
  禁用調(diào)試模式，刪除示例應(yīng)用程序，並保持依賴關(guān)係更新。

• 使用安全的標題
  通過過濾器或框架設(shè)置HTTP安全標頭：

  • Content-Security-Policy
  • X-Content-Type-Options: nosniff
  • X-Frame-Options: DENY
  • Strict-Transport-Security

  在春季，使用：

   http.headers（）。 frameoptions（）。 deny（）和（）。 contentTypeoptions（）和（）。 hsts（）;

• 集中配置
  使用application.properties或application.yml具有特定於個人資料的設(shè)置。切勿將秘密存儲在代碼中。

6。驗證和消毒用戶輸入（XSS預(yù)防）

當(dāng)應(yīng)用在響應(yīng)中包含不信任數(shù)據(jù)時，會發(fā)生跨站點腳本（XSS）。

如何保護：

• 逃生輸出
  使用上下文感知逃脫：

  • 對於HTML：使用Owasp Java編碼器：

     <％= encode.forhtml（usercontent）％>

  • 對於JavaScript：使用Encode.forJavaScript()

• 使用現(xiàn)代框架
  胸腺，JSF或Spring默認情況下自動逃脫輸出 - 確保您不會禁用它。

• 應(yīng)用內(nèi)容安全策略（CSP）
  限制腳本，樣式和其他資源的來源。

7。防止SSRF（服務(wù)器端請求偽造）

SSRF讓攻擊者誘使服務(wù)器提出意外請求。

如何保護：

• 驗證和白名單URL
  如果您的應(yīng)用獲取遠程資源（例如，Webhooks，Avatars），請驗證目標：

  • 阻止Localhost，內(nèi)部IP（10.x，192.168.x等）
  • 使用允許域的允許列表

• 使用網(wǎng)絡(luò)細分
  在沒有外部訪問的孤立網(wǎng)絡(luò)中運行後端服務(wù)。

• 避免將URL獲取給用戶
  如果可能的話，避免讓用戶輸入服務(wù)器將獲取的URL。

8。安全使用依賴項（軟件和數(shù)據(jù)完整性失?。?/strong>

使用脆弱或篡改的組件可以引入後門。

如何保護：

• 定期掃描依賴項
  使用以下工具：

  • OWASP依賴性檢查
  • Snyk
  • maven/gradle插件以檢測已知漏洞

• 保持圖書館的更新
  訂閱安全郵件列表或使用自動化工具（例如DiDeStabot）。

• 驗證完整性
  盡可能使用簽名的工件和校驗和校驗和校驗

9。實施適當(dāng)?shù)腻e誤處理和記錄

記錄差或詳細錯誤會洩漏系統(tǒng)的詳細信息。

如何保護：

• 不要露出堆棧跟蹤
  將通用錯誤消息返回給用戶：

  嘗試 {
      // ...
  } catch（異常E）{
      log.error（“用戶失敗的操作失?。簕}”，userId，e）;
      投擲新的Customexception（“發(fā)生錯誤”）；
  }

• 足夠?qū)θ∽C的日誌，不是太多
  避免記錄密碼，令牌或PII。

• 監(jiān)視可疑活動的日誌
  使用麋鹿堆或splunk等工具來檢測蠻力，注射嘗試等。

10。安全API（API安全）

現(xiàn)代應(yīng)用程序依賴於API，這些API容易損壞對象級授權(quán)，數(shù)據(jù)曝光過多等。

如何保護：

• 驗證API端點中的所有輸入
  在Spring Boot中使用@Valid和Bean驗證：

   public wendersentity <user> createuser（@valid @requestbody用戶用戶）{...}

• 使用速率限制
  防止使用Spring Cloud Gateway或自定義過濾器等工具濫用。

• 避免過多的數(shù)據(jù)曝光
  如果僅需要幾個字段，請不要返回完整的對象。使用DTO。

• 驗證並授權(quán)每個請求
  使用具有適當(dāng)簽名驗證和短壽命的JWT。