摘要:
本期主题为抛出通用异常缺陷漏洞和字符串比较缺陷漏洞的相关介绍,欢迎大家一起探讨! ▲ 抛出通用异常缺陷漏洞 抛出过于宽泛的异常会导致复杂的错误处理代码,这些代码很可能包含安全漏洞。 声明抛出Exception或Throwable的方法会使调用方难以执行正确的错误处理和错误恢复。例如,Java的异常机 阅读全文
摘要:
为了帮助信息安全入门人员更快的了解软件安全相关的知识,帮助企业更加有效的防范软件安全漏洞,提升网络安全防护能力,接下来为大家简单介绍未使用的变量缺陷漏洞和通用异常捕获声明缺陷漏洞两个常见的缺陷漏洞,欢迎大家一起探讨! ▲ 未使用的变量缺陷漏洞 一、什么是未使用的变量缺陷? 变量已赋值但从未使用过,这 阅读全文
摘要:
本期主题为HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷漏洞的相关介绍。 一、什么是HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷? HTTPS会话里的敏感Cookie没有设置'Secure'属性,这可能导致用户代理通过HTTP会话以纯文本格式发送这些cook 阅读全文
摘要:
本期主题为通过错误消息导致的信息暴露缺陷漏洞的相关介绍。 一、什么是通过错误消息导致的信息暴露缺陷? 软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。 二、通过错误消息导致的信息暴露缺陷构成条件有哪些? 敏感信息本身可能是有价值的信息(例如密码),或者对于发起其他更严重的攻击可 阅读全文
摘要:
本期主题为数组声明为public final static缺陷漏洞的相关介绍。 一、什么是数组声明为public final static缺陷? 程序声明一个public final static的数组,这不足以防止修改数组的内容。 二、数组声明为public final static缺陷构成条件有 阅读全文
摘要:
本期主题为数字类型的不正确转换导致漏洞的相关介绍。 一、什么是数字类型的不正确转换? 从一种数据类型转换为另一种数据类型(例如从long到int )时,会忽略部分数据,造成精度损失,甚至产生不可预期的数值。如果在敏感的上下文中使用结果值,则可能会发生危险行为。 二、数字类型的不正确转换构成条件有哪些 阅读全文
摘要:
本期主题为对XML外部实体引用的不当限制的相关介绍。 01 什么是对XML外部实体引用的不当限制? 该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。 XML文档可以选择包含文档类型定义(DTD),该文档类型定义 阅读全文
摘要:
本期主题为从finally块中return漏洞的相关介绍。 一、什么是从finally块中return? Java中的finally一般与try一起使用,在程序进入try块之后,无论程序是因为异常而中止或其它方式返回终止的,finally块的内容一定会被执行。 代码在finally块中有一个retu 阅读全文
摘要:
本期主题为资源未关闭/释放漏洞的相关介绍。 一、什么是资源未关闭/释放? 在使用临时或配套资源后,软件没有正确“清理”和删除这些资源。 二、资源未关闭/释放漏洞构成条件有哪些? 满足以下条件,就构成了一个该类型的安全漏洞: 1、软件在使用后没有正确“清理”并删除临时的或配套的资源。 三、资源未关闭/ 阅读全文
摘要:
本期主题为用不安全的授权创建临时文件漏洞的相关介绍。 一、什么是用不安全的授权创建临时文件? 在没有适当措施或控制的情况下打开临时文件可能会使文件、其内容和任何受它影响的函数容易受到攻击。 二、用不安全的授权创建临时文件漏洞构成条件有哪些? 满足以下条件,就构成了一个该类型的安全漏洞: 1、使用创建 阅读全文