摘要:
这篇文章主要介绍空密码缺陷漏洞,空密码缺陷在CWE中编号为CWE-258:Empty Passwordin Configuration File。早在2017年,苹果MacOS的Sierra就出现过类似漏洞问题, 它允许任何人在root账户中输入一个空白密码或任意字符串作为密码即可进入系统。未授权的 阅读全文
摘要:
这篇文章主要为大家简单介绍在运算过程中出现除数有可能为零缺陷漏洞的相关信息,并该如何解决。除数有可能为零缺陷在CWE中被编号为CWE-369:Divide By Zero。 一、除数可能为零缺陷 01 什么是除数有可能为零缺陷? 运算操作时,除法或求余数操作容易受到除数有可能为零的影响。因此,必须在 阅读全文
摘要:
由于CWE对源代码缺陷描述的准确性和权威性,源代码缺陷检测厂家逐渐在产品和服务中引用CWE中的相关信息。CWE(Common Weakness Enumeration,通用缺陷枚举)是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。CVE(Common Vulnerabilities & 阅读全文
摘要:
本文旨在科普软件安全相关知识,帮助初级网络安全人员了解代码缺陷,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 ▲ 加密强度不足缺陷漏洞 一、什么是加密强度不足? 大多数密码系统都需要足够的密钥大小来抵御暴力攻击。软件使用理论上合理的加密方案存储或传输敏感数据,但强度不足以达到所需的保护级别。 阅读全文
摘要:
什么是不受控制的资源消耗缺陷漏洞?它又能带来哪些严重后果?让我们一起往下看。 不受控制的资源消耗缺陷漏洞 一、什么是不受控制的资源消耗缺陷? 软件无法正确控制有限资源的分配和维护,从而使参与者无法影响所消耗的资源量,最终导致可用资源的耗尽。有限的资源包括内存,文件系统存储,数据库连接池条目和CPU。 阅读全文
摘要:
本期主题为抛出通用异常缺陷漏洞和字符串比较缺陷漏洞的相关介绍,欢迎大家一起探讨! ▲ 抛出通用异常缺陷漏洞 抛出过于宽泛的异常会导致复杂的错误处理代码,这些代码很可能包含安全漏洞。 声明抛出Exception或Throwable的方法会使调用方难以执行正确的错误处理和错误恢复。例如,Java的异常机 阅读全文
摘要:
为了帮助信息安全入门人员更快的了解软件安全相关的知识,帮助企业更加有效的防范软件安全漏洞,提升网络安全防护能力,接下来为大家简单介绍未使用的变量缺陷漏洞和通用异常捕获声明缺陷漏洞两个常见的缺陷漏洞,欢迎大家一起探讨! ▲ 未使用的变量缺陷漏洞 一、什么是未使用的变量缺陷? 变量已赋值但从未使用过,这 阅读全文
摘要:
本期主题为HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷漏洞的相关介绍。 一、什么是HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷? HTTPS会话里的敏感Cookie没有设置'Secure'属性,这可能导致用户代理通过HTTP会话以纯文本格式发送这些cook 阅读全文
摘要:
本期主题为通过错误消息导致的信息暴露缺陷漏洞的相关介绍。 一、什么是通过错误消息导致的信息暴露缺陷? 软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。 二、通过错误消息导致的信息暴露缺陷构成条件有哪些? 敏感信息本身可能是有价值的信息(例如密码),或者对于发起其他更严重的攻击可 阅读全文
摘要:
本期主题为数组声明为public final static缺陷漏洞的相关介绍。 一、什么是数组声明为public final static缺陷? 程序声明一个public final static的数组,这不足以防止修改数组的内容。 二、数组声明为public final static缺陷构成条件有 阅读全文