个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
24
4
在 PA-DSS 审核过程中,在运行信用卡支付交易后,我们在服务器端代码(进程内存转储)中发现了信用卡号。
我最初尝试在支付交易结束时调用 JVM 垃圾收集器,因为我们的变量是本地变量来解决这个问题。但是在内存转储中仍然有一个引用信用卡 (CC) 的实例。这个 CC 字符串(实际上它是一个 byte[])被内部使用 sun.net.www.protocol.https.HttpsClient 的 SOAP CXF 客户端对象引用,最终使用 BufferedOutputStream 对象。
查看 BufferedOutputStream 的代码,我注意到私有(private) flushBuffer() 方法只是将计数变量设置为零,而不是重置内部 byte[] 数组。
常规应用程序的代码没有问题(只是重置计数变量更简单有效)但这在我们的安全审计过程中引发了一个标志,所以我的替代方案是创建一个自定义 java.io.BufferedOutputStream 它将重置为零这个字节数组,然后我需要将这个文件添加到 tomcat 引导类路径中。
private void flushBuffer() throws IOException {
if (count > 0) {
out.write(buf, 0, count);
//NEW - Custom code to reset buffer
for (int i = 0; i < count; i++) {
buf[i] = 0;
}
//End custom code
count = 0;
}
}
这确实有效,我再也找不到内存转储中的 CC 数据,但我认为这不是正确的解决方案(Java 核心类的自定义更改)。
关于如何以不同的方式解决这个问题(无需更改任何库代码)有什么建议吗?
最佳答案
Java 允许您在“不必更改任何库代码”的情况下扩展库。您可以扩展 BufferedOutputStream 以生成 SecureBufferedOutputStream,这将在刷新之后和垃圾收集之前将缓冲区的内容归零(以防您的 JVM 实现尚未将垃圾收集的内存归零)。
import java.io.BufferedOutputStream;
import java.io.IOException;
import java.io.OutputStream;
import java.util.Arrays;
public class SecureBufferedOutputStream extends BufferedOutputStream {
public SecureBufferedOutputStream(OutputStream out) {
super(out);
}
public SecureBufferedOutputStream(OutputStream out, int size) {
super(out, size);
}
@Override
public synchronized void flush() throws IOException {
super.flush();
Arrays.fill(buf, (byte) 0);
}
@Override
protected void finalize() throws Throwable {
super.finalize();
Arrays.fill(buf, (byte) 0);
}
}
关于java - 如何使 java.io.BufferedOutputStream 为敏感卡数据的内存抓取器提供保护?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38444953/
24
4
0
在 Android 的 API > 19 中是否有任何方法可以获取可移动 SD 卡的路径? 与外部 SD 卡一样,我们有 Environment.getExternalStorageDirectory
一些 Android 设备有 microSD(或其他存储卡)插槽,通常安装为 /storage/sdcard1 据我所知,自 Android 4.4 起 Google 限制了对此内存的访问,并在 An
我使用 Java Card 2.1.2 SDK 和 GPShell 作为与设备通信的方式在 Java Card 上构建一个项目。我从 GpShell 测试了 helloworld 示例,并成功发送了
我开发了一个应用程序,它有一个来电接收器,它适用于所有手机。一位用户有一部双 SIM 卡安卓手机。该应用程序适用于第一张 SIM 卡。但是当有人调用他的第二张 SIM 卡时,我们的应用程序不会被调用。
我有一个带预览的文件输入。 这是笔 Codepen 我想强制高度,我无法理解我该怎么做。我想将此组件的高度固定为 300px(示例),我还需要保持加载图像的正确纵横比,用灰色背景填充空白。现在我保持宽
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 想改进这个问题?将问题更新为 on-topic对于堆栈溢出。 6年前关闭。 Improve this qu
我正在使用此代码访问 SD card : import os from os.path import join from jnius import autoclass #from android.pe
我正在为数据记录设备编写固件。它以 20 Hz 的频率从传感器读取数据并将数据写入 SD 卡。但是,向SD卡写入数据的时间并不一致(大约200-300 ms)。因此,一种解决方案是以一致的速率将数据写
我正在使用以下代码将视频放到网站上,但是在垂直方向上,手机屏幕上只能看到视频的左半部分 我不是网络开发人员。有人可以告诉我确切的内容吗,如何使其正确放置在手机屏幕上? 是在youtube iframe
我正在使用 Vuetify 1.5 和 Vuetify 网格系统来设置我的布局。现在我有一个组件 HelloWorld我将其导入到我的 Parent 中成分。我已经在我的 HelloWorld 中设置
我使用 python 制作了一个简单的二十一点游戏。我制作了游戏的其余部分,但我正在努力放入 ASCII 卡,所以这只是代码的一小部分。我尝试将 * len(phand) 放在附加行的末尾。虽然这确实
我正在使用玩家卡设置 Twitter 卡。它可以在预览工具中运行,但文档说它需要在“twitter.com 现代桌面浏览器? native iOs 和 Android Twitter 应用程序?mob
任何旧的 GSM 兼容 SIM 卡(3G USIM 的奖励)。 我想我需要一些硬件?谁能为业余爱好者推荐一些便宜的东西,以及一些更专业的东西? 我认为会有一个带有硬件的 API 的完整文档,所以也许这
我使用 python 制作了一个简单的二十一点游戏。我制作了游戏的其余部分,但我正在努力放入 ASCII 卡,所以这只是代码的一小部分。我尝试将 * len(phand) 放在附加行的末尾。虽然这确实
我记得前一段时间读到有 cpu 卡供系统添加额外的处理能力来进行大规模并行化。任何人都有这方面的经验和任何资源来研究项目的硬件和软件方面吗?这项技术是否不如传统集群?它更注重功率吗? 最佳答案 有两个
我检查外部存储是否已安装并且可用于读/写,然后从中读取。我使用的是确切的官方 Android 示例代码 ( from here )。 它说外部存储未安装。 getExternalFilesDir(nu
在 Android 2.1 及更低版本中,Android 应用程序可以请求下载到 SD 卡上吗?另外我想知道应用程序是否可以请求一些包含视频的文件夹下载到 SD 卡上?以及如何做到这一点? 提前致谢。
我们编写了一个 Windows 设备驱动程序来访问我们的自定义 PCI 卡。驱动程序使用 CreateFile 获取卡的句柄。 我们最近在一次安装中遇到了问题,卡似乎停止工作了。我们尝试更换卡(更换似
有些新设备(例如 Samsung Galaxy)带有两个 SD 卡。我想知道是否有任何方法可以确定设备是否有两张 SD 卡或一张 SD 卡。谢谢 最佳答案 我认为唯一的方法是使用 检查可用根的列表 F
我正在尝试将文件读/写到 SD 卡。我已经尝试在我的真实手机和 Eclipse 中的模拟器上执行此操作。在这两种设备上,对/mnt/sdcard/或/sdcard 的权限仅为“d--------”,我
我是一名优秀的程序员,十分优秀!