摘要:
本期主题为调用System.exit()存在安全漏洞的相关介绍。 一、为什么调用System.exit()存在安全漏洞? J2EE应用程序调用System.exit(),会关闭其容器。 System.exit()其实是Java中结束进程的方法,调用它将关闭当前的JVM虚拟机。对于web应用程序来说, 阅读全文
摘要:
本期主题为跨站脚本漏洞的相关介绍。 一、什么是跨站脚本漏洞? 从用户控制的输入到输出之前,软件没有对其进行过滤或没有正确过滤,这些输出用作向其他用户提供服务的网页。 二、跨站脚本(XSS)漏洞通常在哪些情况下发生? 1、不可信数据进入网络应用程序,通常通过网页请求; 2、网络应用程序动态地生成一个带 阅读全文
摘要:
本期主题为使用不安全的随机值的相关介绍。 一、什么是使用不安全的随机值? 软件依赖于不可预测的数值使用了不充分的随机数导致的安全性降低。 产生原因:计算机是一种按照既定算法运行的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG包 阅读全文
摘要:
本期主题为违规的对象模型:对象只定义了Equals和Hashcode方法之一漏洞的相关介绍。 一、什么是“违规的对象模型:对象只定义了Equals和Hashcode方法之一”的漏洞? 也就是同一个对象没有同时包含equals和hashcode。因为Java对象需要遵守许多与相等相关的约束条件。其中一 阅读全文
摘要:
本期主题为使用已破解或危险的加密算法导致漏洞的相关介绍。 一、什么是使用已破解或危险的加密算法导致的漏洞? 使用已破解或者有风险的加密算法会产生软件风险,可能导致敏感信息暴露。使用非标准算法相对危险较高,因为恶意攻击者可能会利用该算法的漏洞进而危害任何受保护的数据。 二、使用已破解或危险的加密算法导 阅读全文
摘要:
本期主题为敏感信息的明文传输漏洞的相关介绍。 一、什么是敏感信息的明文传输漏洞? 程序在通信时以明文形式传输敏感或重要数据,这些数据可能被未经授权的攻击者嗅探。简单点来说就是当我们在网站上面提交敏感数据到服务器的过程中未进行相关加密处理,导致攻击者通过代理攻击方式(劫持、嗅探等)即可获取到这些未加密 阅读全文
摘要:
本期主题为LDAP注入漏洞的相关介绍。 01什么是LDAP注入漏洞? LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写,提供访问目录数据库方法的服务和协议,常用于与目录数据库组成目录服务。其中目录是一个为查询、浏览和搜索而优化的专业分布式数 阅读全文
摘要:
本期主题为内存泄漏漏洞的相关介绍。 01什么是内存泄漏漏洞? 内存泄露是C/C++程序中的常见漏洞类型。它是指由于疏忽或错误,造成程序无法充分跟踪和释放已经不再使用的内存空间,导致系统可用内存减少,从而造成内存的浪费,导致性能下降,运行较长时间后,导致系统内存枯竭,导致系统响应慢或不再响应,从而造成 阅读全文
摘要:
本期主题为日志伪造漏洞的相关介绍。 01什么是日志伪造漏洞? 应用程序通常使用日志文件来存储事件或事务的历史,以供以后查看、收集统计信息或调试。根据应用程序的性质,检查日志文件的任务可以根据需要手动执行,也可以使用工具自动筛选重要事件或趋势信息的日志。 当日志条目包含未经过授权的用户输入时,会造成日 阅读全文
摘要:
本期主题为Switch中省略了break语句导致的代码缺陷的相关介绍。 01什么是Switch中省略了break语句导致的代码缺陷? break语句通常用在循环语句和switch语句中。当break用于switch语句中时,可使程序跳出switch而执行switch以后的语句;如果没有break语句 阅读全文