漏洞分析——變數缺陷漏洞及通用異常捕獲宣告缺陷漏洞
▲ 未使用的變數缺陷漏洞
一、什麼是未使用的變數缺陷?
變數已賦值但從未使用過,這使其成為無意義的變數。
二、未使用的變數缺陷構成條件有哪些?
當一個區域性變數被賦了一個值,而該值沒有被任何後續指令使用時,就會出現未使用的變數。
三、未使用的變數缺陷會造成哪些後果?
計算或檢索一個值,然後重寫或丟棄它,可能表明程式碼中存在嚴重錯誤。即使這不是一個嚴重的錯誤,也是一種資源浪費。
四、未使用的變數缺陷的防範和修補方法有哪些?
從程式碼中刪除未使用的變數。
五、透過錯誤訊息導致的資訊暴露缺陷樣例:
用 上述程式程式碼,則可以發現程式碼中存在著“未使用的變數” 導致的程式碼缺陷,如下圖:
未使用的變數缺陷在CWE中被編號為CWE-563:Assignmentto Variable without Use
▲ 通用異常捕獲宣告缺陷漏洞
一、什麼是通用異常捕獲宣告缺陷?
捕獲過於廣泛的異常會導致複雜的錯誤處理程式碼,該程式碼更可能包含安全漏洞。
二、通用異常捕獲宣告缺陷構成條件有哪些?
的變數。捕捉異常似乎是處理多個可能異常的有效方法。不幸的是,它會捕獲所有異常型別,檢查異常和執行時異常,從而造成了捕獲範圍過大。
三、通用異常捕獲宣告缺陷會造成哪些後果?
捕獲範圍過於廣泛的異常實質上會破壞Java型別異常的目的,並且如果程式增長並開始引發新型別的異常,則變得特別危險。新的異常型別將不會受到任何關注。
四、通用異常捕獲宣告缺陷的防範和修補方法有哪些?
明確列出需要捕獲的異常。
五、通用異常捕獲宣告缺陷的資訊暴露缺陷樣例:
用 Wukong軟體檢測上述程式程式碼,則可以發現程式碼中存在著“通用異常捕獲宣告” 導致的程式碼缺陷,如下圖:
通用異常捕獲宣告缺陷在CWE中被編號為:CWE-396:Declaration of Catch for Generic Exception
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2789811/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 程式碼缺陷解讀:通用異常捕獲宣告缺陷漏洞
- 漏洞解析——通用異常缺陷及字串比較缺陷字串
- 程式碼安全測試第二十九期:通用異常捕獲宣告缺陷漏洞
- CWE-58:EmptySynchronized Block空的同步塊缺陷漏洞分析synchronizedBloC
- 異常及捕獲
- 程式碼安全測試第二十八期:未使用的變數缺陷漏洞變數
- 空密碼缺陷漏洞CWE-258:Empty Passwordin Configuration File密碼
- 程式碼安全測試第二十五期:陣列宣告為public final static漏洞缺陷陣列
- 使用錯誤的運算子進行字串比較缺陷漏洞字串
- 【漏洞分析】20240507-SATURN:當閃電貸遇上有缺陷的通縮機制
- 【JAVA-WEB常見漏洞-XSS漏洞】JavaWeb
- DRF之異常捕獲原始碼分析原始碼
- python異常捕獲Python
- 捕獲 React 異常React
- 程式碼安全測試第三十期:丟擲通用異常缺陷
- 程式碼安全測試第七期:不安全的反射漏洞缺陷反射
- CWE-501: Trust Boundary Violation違反信任邊界的程式碼漏洞缺陷Rust
- Windows 10熔斷漏洞補丁曝致命缺陷:僅Win10.5倖免WindowsWin10
- 【阿菜漏洞復現】DeFi 平臺 MonoX Finance 漏洞分析及復現MonoNaN
- 前端JavaScript 常見的報錯及異常捕獲前端JavaScript
- ZipperDown漏洞簡單分析及防護
- android 異常捕獲-UncaughtExceptionHandlerAndroidException
- PHP變數覆蓋漏洞小結PHP變數
- C#學習筆記---異常捕獲和變數運算子C#筆記變數
- Lombok生成get/set異常問題(Lombok缺陷)Lombok
- Abp vNext異常處理的缺陷/改造方案
- 什麼是通用漏洞披露 (CVE)?
- BlueKeep 漏洞利用分析
- JSON劫持漏洞分析JSON
- 漏洞分析 | Dubbo2.7.7反序列化漏洞繞過分析
- TomcatAJP檔案包含漏洞及線上修復漏洞Tomcat
- (CVE-2019-5786) 漏洞原理分析及利用
- wpf 捕獲全域性異常
- python中如何捕獲異常Python
- pb呼叫ole異常捕獲
- 記錄Javascript 異常捕獲JavaScript
- Task異常捕獲的方式
- 【漏洞分析】Reflection Token 反射型代幣攻擊事件通用分析思路反射事件