程式碼缺陷解讀:通用異常捕獲宣告缺陷漏洞
一、什麼是通用異常捕獲宣告缺陷?
捕獲過於廣泛的異常會導致複雜的錯誤處理程式碼,該程式碼更可能包含安全漏洞。
二、通用異常捕獲宣告缺陷構成條件有哪些?
的變數。捕捉異常似乎是處理多個可能異常的有效方法。不幸的是,它會捕獲所有異常型別,檢查異常和執行時異常,從而造成了捕獲範圍過大。
三、通用異常捕獲宣告缺陷會造成哪些後果?
捕獲範圍過於廣泛的異常實質上會破壞Java型別異常的目的,並且如果程式增長並開始引發新型別的異常,則變得特別危險。新的異常型別將不會受到任何關注。
四、通用異常捕獲宣告缺陷的防範和修補方法有哪些?
明確列出需要捕獲的異常。
五、通用異常捕獲宣告缺陷的資訊暴露缺陷樣例:
用悟空軟體安全檢測工具檢測上述程式程式碼,則可以發現程式碼中存在著“通用異常捕獲宣告” 導致的程式碼缺陷,如下圖:
通用異常捕獲宣告缺陷在CWE中被編號為:CWE-396:Declaration of Catch for Generic Exception
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2795099/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 漏洞分析——變數缺陷漏洞及通用異常捕獲宣告缺陷漏洞變數
- 程式碼安全測試第二十九期:通用異常捕獲宣告缺陷漏洞
- 漏洞解析——通用異常缺陷及字串比較缺陷字串
- 程式碼安全測試第三十期:丟擲通用異常缺陷
- 異常及捕獲
- python異常捕獲Python
- 捕獲 React 異常React
- DRF之異常捕獲原始碼分析原始碼
- android 異常捕獲-UncaughtExceptionHandlerAndroidException
- 程式碼安全測試第二十五期:陣列宣告為public final static漏洞缺陷陣列
- 原始碼解讀: Vuex 的一些缺陷原始碼Vue
- Lombok生成get/set異常問題(Lombok缺陷)Lombok
- Abp vNext異常處理的缺陷/改造方案
- wpf 捕獲全域性異常
- python中如何捕獲異常Python
- pb呼叫ole異常捕獲
- 記錄Javascript 異常捕獲JavaScript
- Task異常捕獲的方式
- 陣列宣告為public final static缺陷陣列
- 10. 異常捕獲、生成式
- Auth 授權的異常捕獲
- JS 使用try catch捕獲異常JS
- SpringBoot之全域性捕獲異常Spring Boot
- 儲存過程——異常捕獲&列印異常資訊儲存過程
- 缺陷和缺陷報告
- 在 C++ 中捕獲 Python 異常C++Python
- 捕獲不到異常嘗試除以0
- spring-boot 統一異常捕獲Springboot
- dubbo~全域性異常攔截器的使用與設計缺陷
- 空密碼缺陷漏洞CWE-258:Empty Passwordin Configuration File密碼
- 程式碼安全測試第七期:不安全的反射漏洞缺陷反射
- CWE-501: Trust Boundary Violation違反信任邊界的程式碼漏洞缺陷Rust
- 前端JavaScript 常見的報錯及異常捕獲前端JavaScript
- 異常處理機制(二)之異常處理與捕獲
- bug 管理與缺陷管理的異同
- 談談前端異常捕獲與上報前端
- 缺陷
- 程式碼缺陷解讀——不受控制的資源消耗及表示式永假永真