Java 项目安全、如何进行安全审计

密码出现位置：

1.properties后缀文件
2.java后缀文件
3.xml后缀文件

相关 - 关键词：

1.password
2.pass
3.jdbc
4.username
5.其他第三方软件（Redis）

例如：

命令注入（是否存在以及绕过的可能）

关键词：
1.getRuntime
2.exec
3.ProcessBuilder
4.shell

文件上传点

关键词：
1.upload
2.MultipartFile
3.fileName
4.filePath

越权，URL跳转

关键词：
1.sendRedirect
2.setHeader
3.forward

其他

sql注入：Select、Dao、 from、delete、update、insert、createStatement

反序列化：readObject，readUnshared、JSON.parseObject

XSS注入： getParamter，param

XML注入：XMLStreamReader、SAXReader、XMLReader等

Fortify审计工具

文章来源：刘俊涛的博客 欢迎关注公众号、留言、评论，一起学习。

---

若有帮助到您，欢迎捐赠支持，您的支持是对我坚持最好的肯定(^_)