呼叫System.exit()存在安全漏洞
本期主題為呼叫System.exit()存在安全漏洞的相關介紹。
一、為什麼呼叫System.exit()存在安全漏洞?
J2EE應用程式呼叫System.exit(),會關閉其容器。
System.exit()其實是Java中結束程式的方法,呼叫它將關閉當前的JVM虛擬機器。對於web應用程式來說,嘗試關閉應用程式容器絕不是一個值得推薦的方法,因為呼叫可以關閉應用程式的函式可以作為拒絕服務(DoS)攻擊的一種途徑。
二、呼叫System.exit()漏洞構成條件有哪些?
滿足以下條件,就構成了一個該型別的安全漏洞:
J2EE伺服器程式存在某個功能呼叫System.exit()。
三、呼叫System.exit()漏洞會造成哪些後果?
關鍵詞:DoS;崩潰、退出或重新啟動;
攻擊者訪問具有System.exit()的功能,可能會導致程式崩潰、退出或重啟,實現Dos攻擊。
四、呼叫System.exit()漏洞的防範和修補方法有哪些?
1、特權分離:具有關閉程式的功能應該是特權功能,只有具有授權的管理使用者才能使用。
2、Web應用不應該呼叫如System.exit()這樣可以導致虛擬機器退出的方法。
3、Web應用程式不應該將任何異常丟擲到伺服器,這可能會產生負面影響。
4、非Web應用程式可能具有含有System.exit()的main()方法,但不應該在其他位置呼叫。
五、呼叫System.exit()漏洞樣例:
用 悟空靜態程式碼檢測分析上述程式程式碼,則可以發現程式碼中存在著“呼叫System.exit()” 導致的程式碼缺陷,如下圖:
呼叫System.exit()在CWE中被編號為CWE-382: J2EE Bad Practices: Use of System.exit()
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2791952/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 程式碼安全測試第十八期:呼叫System.exit()存在安全漏洞
- system.exit(0)和system.exit(1)的區別
- 靜態加密:存在代理混淆的安全漏洞加密
- window.open()和target= blank存在安全漏洞
- FastJson引入存在DDos攻擊安全漏洞案例分析ASTJSON
- 銳龍處理器不存在Spoiler安全漏洞
- 黑帽大會:HTTPS和SSL協議存在安全漏洞HTTP協議
- 每個 node 應用可能存在的 timing-attack 安全漏洞
- 從JDK原始碼看System.exitJDK原始碼
- 魔獸爭霸自定義地圖直譯器存在安全漏洞地圖
- 數億WIFI晶片存在資料竊取和流量操縱風險;因存在安全漏洞,沃爾沃研發資料被盜WiFi晶片
- 黑掉空軍 2.0:美國國防部網站被確認存在106個安全漏洞網站
- PDF檔案可能存在各種安全漏洞,以下是一些已知的PDF漏洞型別:型別
- 德國醫療巨頭輸液泵存在安全漏洞,邁克菲釋出研究報告
- XP-CmdShell 在 SQL Server 中存在一些潛在的安全漏洞,主要涉及以下幾個方面:SQLServer
- 2700 萬能源智慧電錶存在安全漏洞,英國情報機構 GCHQ 釋出物聯網安全預警GC
- 中國資訊通訊研究院:2022年 75%被測電視作業系統存在已知安全漏洞作業系統
- 超7成輸液泵存在重大安全漏洞 360專家建言構建醫療行業安全大腦行業
- CVE安全漏洞的理解
- Web安全漏洞之CSRFWeb
- 安全漏洞整改系列(二)
- 網站的安全漏洞網站
- 安全漏洞整改系列(一)
- 蘋果 iOS 15 仍存在 3 個零日安全漏洞,100萬美元安全獎勵計劃受開發者“吐槽”蘋果iOS
- Web 安全漏洞之 SQL 注入WebSQL
- [20240825]記錄表不存在sql語句執行呼叫kgllkal,kglpnal的情況(21c).txtSQL
- Web 安全漏洞之 XSS 攻擊Web
- Magento新的ZEND FRAMEWORK安全漏洞Framework
- 【求】安全漏洞掃描工具 xscan
- WEB安全漏洞掃描與處理(上)——安全漏洞掃描工具AppScan的安裝使用WebAPP
- 眾至科技:漏洞通告 | 微軟10月釋出多個安全漏洞;Apache Shiro許可權繞過漏洞;Apache Commons存在程式碼執行漏洞微軟Apache
- Web 安全漏洞之檔案上傳Web
- Spring 和 Nacos 雙雙爆出安全漏洞!!Spring
- 是否存在JSON物件JSON物件
- 存在重複元素
- 物件存在位置物件
- 遞迴呼叫 VS 迴圈呼叫遞迴
- 教你Mysql如何實現不存在則插入,存在則更新MySql