程式碼安全測試第二十五期:陣列宣告為public final static漏洞缺陷

zktq2021發表於2021-06-23

一、什麼是陣列宣告為public final static缺陷?

程式宣告一個public final static的陣列,這不足以防止修改陣列的內容。

二、陣列宣告為public final static缺陷構成條件有哪些?

因為陣列是可變物件,所以最終約束要求陣列物件本身只分配一次,但不保證陣列元素的值。由於陣列是public的,因此惡意程式可以更改儲存在陣列中的值。因此,在大多數情況下,宣告為public final static的陣列是一個錯誤。

三、陣列宣告為public final static缺陷會造成哪些後果?

程式資料會被修改,可能產生不利影響。

四、陣列宣告為public final static缺陷的防範和修補方法有哪些?

大部分情況下,陣列宣告應為private。

五、陣列宣告為public final static缺陷樣例:

用悟空 軟體靜態程式碼檢測工具分析 述程式程式碼,則可以發現程式碼中存在著“陣列宣告為public final static缺陷” 導致的 程式碼缺陷,如下圖:

陣列宣告為public final static缺陷在CWE中被編號為CWE-582:Array Declared Public, Final, and Static


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2777953/,如需轉載,請註明出處,否則將追究法律責任。

相關文章