Secure programming in java ..

Secure programming in Java | जावा में सुरक्षित कोडिंग

जावा में सुरक्षित कोडिंग

 सुरक्षित कार्यक्रमों का निर्माण करने के लिए सुरक्षित डिजाइन की आवश्यकता होती है।  हालांकि, यहां तक ​​कि सबसे अच्छे डिजाइन असुरक्षित कार्यक्रमों को जन्म दे सकते हैं यदि डेवलपर्स जावा प्रोग्रामिंग में निहित कई सुरक्षा नुकसानों से अनजान हैं।  

   इस प्रस्तुति में सामग्री एडिसन-वेस्ले पुस्तकों से ली गई थी ...

दर्शक

 यह कोर्स जावा डेवलपर्स के लिए बनाया गया है।

 उद्देश्य

 प्रतिभागियों को इस कोर्स से दूर जाना चाहिए, जिसमें सामान्य प्रोग्रामिंग त्रुटियों का ज्ञान होता है, जो सॉफ्टवेयर कमजोरियों का कारण बनते हैं, इन त्रुटियों का कैसे फायदा उठाया जा सकता है, और इन त्रुटियों की शुरूआत को रोकने के लिए प्रभावी शमन रणनीति।  विशेष रूप से, प्रतिभागियों को सीखना होगा कि कैसे

 किसी भी जावा अनुप्रयोग की समग्र सुरक्षा में सुधार

 SQL इंजेक्शन और XSS जैसे इंजेक्शन के हमलों से बचें

 जावा के मेमोरी मॉडल को समझें, संपूर्ण संगति के आधार पर, और गतिरोध से बचने के लिए दौड़ की स्थितियों को रोकने का तरीका जानें

 अपवादों को फेंकना और पकड़ना कब सीखें

 फ़ाइल-आधारित दौड़ स्थितियों सहित I / O भेद्यता से बचें

 जानें कि जावा पर ऐतिहासिक कारनामों को कैसे निष्पादित किया गया और बाद में अक्षम कर दिया गया

 इसके अलावा, यह पाठ्यक्रम प्रोग्रामर्स को सुरक्षा सर्वोत्तम प्रथाओं को अपनाने और एक सुरक्षा मानसिकता विकसित करने के लिए प्रोत्साहित करता है जो सॉफ्टवेयर को कल के हमलों से बचाने में मदद कर सकता है, न कि केवल आज।

 विषय

• Input Sanitization and Validation
• Objects and Methods
• Exceptions
• File I/O
• The Java Memory Model
• Concurrency
• The Java Security Model
• Historical Vulnerabilities and Exploits

मुख्य चुनौतियां (2008-2016)

 पांच प्रमुख विषय क्षेत्रों (सुरक्षित संचार, क्रिप्टोग्राफी, प्रमाणीकरण और जावा ईई सुरक्षा) को ध्यान में रखते हुए, मेंग एट अल।  आम चुनौतियों को निर्धारित करने के लिए गहन विश्लेषण किया।

 उल्लेखनीय: स्टैक ओवरफ्लो विश्लेषण में सबसे बड़ा विषय क्षेत्र प्रमाणीकरण है।  प्रमाणीकरण समस्या स्प्रिंग सुरक्षा के लिए अद्वितीय है।  इस मामले में, डेवलपर्स जानना चाहते थे

 मैं।  विभिन्न फ्रेमवर्क और एप्लिकेशन सर्वर के साथ स्प्रिंग सिक्योरिटी को कैसे एकीकृत करें

 ii।  जावा (42 q) या XML (84 q) के साथ स्प्रिंग सिक्योरिटी को कॉन्फ़िगर करना

 iii।  XML- निर्मित कॉन्फ़िगरेशन को जावा- निर्मित लोगों में परिवर्तित करना।

 1. Spring सुरक्षा का घालमेल

 मूल रूप से, स्प्रिंग प्रोजेक्ट्स मुख्य रूप से एक्सएमएल-निर्मित थे, एक स्थिति जो तब से बदल गई है।  वर्तमान में, स्प्रिंग सुरक्षा 3.2.0 2013 सुरक्षा रिलीज के बाद से जावा-निर्मित कॉन्फ़िगरेशन का समर्थन करती है।  तथापि…..

 …। वहाँ कई एनोटेशन और विधियों, कक्षाओं, और फ़ील्ड के API मौजूद हैं जो अलग-अलग निर्धारित कर सकते हैं…

क्रिप्टोग्राफी (जावा प्लेटफ़ॉर्म)

 क्रिप्टोग्राफी में, डेवलपर्स निहित बाधाओं, खराब त्रुटि संदेशों और विभिन्न भाषाओं का उपयोग करके डेटा एन्क्रिप्ट और डिक्रिप्ट करने में चुनौतियों से जूझते हैं।

 विशेष रूप से, क्रिप्टोग्राफी पोस्ट मुख्य रूप से मुख्य पीढ़ी और उनके उपयोग से संबंधित हैं।  डेवलपर्स ने अंतर्निहित एपीआई-उपयोग की बाधाओं, डेटा की क्रॉस-भाषा से निपटने और क्लूलेस-त्रुटि संदेशों का सामना करने की सूचना दी।

 पहुँच नियंत्रण

 स्टैक ओवरफ्लो पर एक्सेस कंट्रोल पोस्ट संबंधित तरीकों, कक्षाओं और पैकेज तक पहुंचने के लिए कुछ अविश्वास कोड को प्रतिबंधित करने के तरीके से संबंधित थे।

 इसके अलावा, मेंग एट अल।  एप्लेट्स से संबंधित 9 पोस्टों का उल्लेख किया, जिसमें अध्ययन पर सीमा पर प्रकाश डाला गया।  विशेष रूप से, 2018 में, एप्लेट "उपयोग नहीं" हैं।

 सुरक्षा संचार

 सुरक्षा संचार पर, एसएसएल या टीएलएस कनेक्शन स्थापित करने के तरीके से संबंधित अधिकांश पोस्ट।  यह प्रक्रिया व्यापक है और इसलिए अधिकांश डेवलपर्स ने कुछ सुरक्षा सत्यापन को दरकिनार करने के लक्ष्य के साथ टूटे हुए समाधानों को स्वीकार करने का प्रयास किया।

 कमजोरियों

 फिर, हम अपने init को दोहराते हैं ...