我可能会被要求从安全角度对Java EE应用程序进行代码审查。安全可能意味着这么多的事情,所以我想问一下:如何从安全角度对Java EE应用程序进行编码审查
- 什么是我们可以在Web应用程序的源代码,查找,同时审核它的安全性具体的事情?
- 你会如何进行这样的审计?
我很抱歉,如果这个问题是有点开放式的,但我尽量不配合下来到特定的Web框架等
我想,我也知道Web框架的选择数据库将会产生影响,因为框架可以具有保护应用程序免受XSS攻击的功能,而数据库库可能具有可以保护应用程序免受SQL注入攻击的功能。
仍然有一种方法可以创建一个通用的清单,可以和应该查看的东西?
我认为它属于[代码评论](http://codereview.stackexchange.com/) –
有些框架确实具有可以帮助防止某些类漏洞,但你会惊讶有多少人不使用它们;错误地/错误地配置它们;或者更常见:不完全理解它们并错误地或不完整地使用它们,使它们仍然同样脆弱。 – Cheekysoft