1
我可能會被要求從安全角度對Java EE應用程序進行代碼審查。安全可能意味着這麼多的事情,所以我想問一下:如何從安全角度對Java EE應用程序進行編碼審查
- 什麼是我們可以在Web應用程序的源代碼,查找,同時審覈它的安全性具體的事情?
- 你會如何進行這樣的審計?
我很抱歉,如果這個問題是有點開放式的,但我儘量不配合下來到特定的Web框架等
我想,我也知道Web框架的選擇數據庫將會產生影響,因爲框架可以具有保護應用程序免受XSS攻擊的功能,而數據庫庫可能具有可以保護應用程序免受SQL注入攻擊的功能。
仍然有一種方法可以創建一個通用的清單,可以和應該查看的東西?
我認爲它屬於[代碼評論](http://codereview.stackexchange.com/) –
有些框架確實具有可以幫助防止某些類漏洞,但你會驚訝有多少人不使用它們;錯誤地/錯誤地配置它們;或者更常見:不完全理解它們並錯誤地或不完整地使用它們,使它們仍然同樣脆弱。 – Cheekysoft