程式碼缺陷解讀：通用異常捕獲宣告缺陷漏洞

一、什麼是通用異常捕獲宣告缺陷?

捕獲過於廣泛的異常會導致複雜的錯誤處理程式碼，該程式碼更可能包含安全漏洞。

二、通用異常捕獲宣告缺陷構成條件有哪些?

的變數。捕捉異常似乎是處理多個可能異常的有效方法。不幸的是，它會捕獲所有異常型別，檢查異常和執行時異常，從而造成了捕獲範圍過大。

三、通用異常捕獲宣告缺陷會造成哪些後果?

捕獲範圍過於廣泛的異常實質上會破壞Java型別異常的目的，並且如果程式增長並開始引發新型別的異常，則變得特別危險。新的異常型別將不會受到任何關注。

四、通用異常捕獲宣告缺陷的防範和修補方法有哪些?

明確列出需要捕獲的異常。

五、通用異常捕獲宣告缺陷的資訊暴露缺陷樣例：

 

用悟空軟體安全檢測工具檢測上述程式程式碼，則可以發現程式碼中存在著“通用異常捕獲宣告” 導致的程式碼缺陷，如下圖：

 

通用異常捕獲宣告缺陷在CWE中被編號為：CWE-396:Declaration of Catch for Generic Exception