程式碼安全測試第二十九期:通用異常捕獲宣告缺陷漏洞
一、什麼是通用異常捕獲宣告缺陷?
捕獲過於廣泛的異常會導致複雜的錯誤處理程式碼,該程式碼更可能包含安全漏洞。
二、通用異常捕獲宣告缺陷構成條件有哪些?
捕捉異常似乎是處理多個可能異常的有效方法。不幸的是,它會捕獲所有異常型別,檢查異常和執行時異常,從而造成了捕獲範圍過大。
三、通用異常捕獲宣告缺陷會造成哪些後果?
捕獲範圍過於廣泛的異常實質上會破壞Java型別異常的目的,並且如果程式增長並開始引發新型別的異常,則變得特別危險。新的異常型別將不會受到任何關注。
四、通用異常捕獲宣告缺陷的防範和修補方法有哪些?
明確列出需要捕獲的異常。
五、通用異常捕獲宣告缺陷的資訊暴露缺陷樣例:
用悟空 軟體靜態程式碼檢測工具 分析上述程式程式碼,則可以發現程式碼中存在著“通用異常捕獲宣告” 導致的 程式碼缺陷,如下圖:
通用異常捕獲宣告缺陷在CWE中被編號為: CWE-396:Declaration of Catch for Generic Exception
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2779065/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 程式碼缺陷解讀:通用異常捕獲宣告缺陷漏洞
- 漏洞分析——變數缺陷漏洞及通用異常捕獲宣告缺陷漏洞變數
- 程式碼安全測試第三十期:丟擲通用異常缺陷
- PLSQL宣告部分異常捕獲SQL
- 程式碼安全測試第二十五期:陣列宣告為public final static漏洞缺陷陣列
- 漏洞解析——通用異常缺陷及字串比較缺陷字串
- 程式碼安全測試第七期:不安全的反射漏洞缺陷反射
- oracle異常捕獲程式碼(轉)Oracle
- 程式碼安全測試第二十八期:未使用的變數缺陷漏洞變數
- 程式碼安全測試第二期:URL重定向(跳轉)漏洞
- 捕獲不到異常嘗試除以0
- 程式碼安全測試第十九期:用不安全的授權建立臨時檔案漏洞
- 程式碼安全測試第九期:Switch中省略了break語句導致的程式碼缺陷漏洞
- 捕獲 React 異常React
- iOS異常捕獲iOS
- DRF之異常捕獲原始碼分析原始碼
- Mysql系列第十九講 異常捕獲及處理詳解MySql
- python異常捕獲Python
- 程式碼安全測試第六期:XPath注入漏洞
- 程式碼安全測試第五期:OS命令注入漏洞
- android 異常捕獲-UncaughtExceptionHandlerAndroidException
- 記錄Javascript 異常捕獲JavaScript
- PHP使用trycatch,捕獲異常PHP
- 【筆記】forall 異常捕獲筆記
- 前端異常捕獲與上報前端
- 程式碼安全測試第八期:Switch中缺少default導致的程式碼缺陷
- 程式碼安全測試第十期:日誌偽造漏洞
- 儲存過程——異常捕獲&列印異常資訊儲存過程
- python中如何捕獲異常Python
- JS 使用try catch捕獲異常JS
- Auth 授權的異常捕獲
- 異常的捕獲及處理
- python動態捕獲異常Python
- junit 使用JUnit測試預期異常
- 程式碼安全測試第二十期:資源未關閉/釋放漏洞
- 程式碼安全測試第二十二期:HTTP響應拆分漏洞HTTP
- 談談前端異常捕獲與上報前端
- 程式碼安全測試第四期:可逆的單向雜湊漏洞