摘要:
本期主题为数字类型的不正确转换导致漏洞的相关介绍。 一、什么是数字类型的不正确转换? 从一种数据类型转换为另一种数据类型(例如从long到int )时,会忽略部分数据,造成精度损失,甚至产生不可预期的数值。如果在敏感的上下文中使用结果值,则可能会发生危险行为。 二、数字类型的不正确转换构成条件有哪些 阅读全文
摘要:
本期主题为对XML外部实体引用的不当限制的相关介绍。 01 什么是对XML外部实体引用的不当限制? 该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。 XML文档可以选择包含文档类型定义(DTD),该文档类型定义 阅读全文
摘要:
本期主题为从finally块中return漏洞的相关介绍。 一、什么是从finally块中return? Java中的finally一般与try一起使用,在程序进入try块之后,无论程序是因为异常而中止或其它方式返回终止的,finally块的内容一定会被执行。 代码在finally块中有一个retu 阅读全文
摘要:
本期主题为资源未关闭/释放漏洞的相关介绍。 一、什么是资源未关闭/释放? 在使用临时或配套资源后,软件没有正确“清理”和删除这些资源。 二、资源未关闭/释放漏洞构成条件有哪些? 满足以下条件,就构成了一个该类型的安全漏洞: 1、软件在使用后没有正确“清理”并删除临时的或配套的资源。 三、资源未关闭/ 阅读全文
摘要:
本期主题为用不安全的授权创建临时文件漏洞的相关介绍。 一、什么是用不安全的授权创建临时文件? 在没有适当措施或控制的情况下打开临时文件可能会使文件、其内容和任何受它影响的函数容易受到攻击。 二、用不安全的授权创建临时文件漏洞构成条件有哪些? 满足以下条件,就构成了一个该类型的安全漏洞: 1、使用创建 阅读全文
摘要:
本期主题为调用System.exit()存在安全漏洞的相关介绍。 一、为什么调用System.exit()存在安全漏洞? J2EE应用程序调用System.exit(),会关闭其容器。 System.exit()其实是Java中结束进程的方法,调用它将关闭当前的JVM虚拟机。对于web应用程序来说, 阅读全文
摘要:
本期主题为跨站脚本漏洞的相关介绍。 一、什么是跨站脚本漏洞? 从用户控制的输入到输出之前,软件没有对其进行过滤或没有正确过滤,这些输出用作向其他用户提供服务的网页。 二、跨站脚本(XSS)漏洞通常在哪些情况下发生? 1、不可信数据进入网络应用程序,通常通过网页请求; 2、网络应用程序动态地生成一个带 阅读全文
摘要:
本期主题为使用不安全的随机值的相关介绍。 一、什么是使用不安全的随机值? 软件依赖于不可预测的数值使用了不充分的随机数导致的安全性降低。 产生原因:计算机是一种按照既定算法运行的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG包 阅读全文
摘要:
本期主题为违规的对象模型:对象只定义了Equals和Hashcode方法之一漏洞的相关介绍。 一、什么是“违规的对象模型:对象只定义了Equals和Hashcode方法之一”的漏洞? 也就是同一个对象没有同时包含equals和hashcode。因为Java对象需要遵守许多与相等相关的约束条件。其中一 阅读全文
摘要:
本期主题为使用已破解或危险的加密算法导致漏洞的相关介绍。 一、什么是使用已破解或危险的加密算法导致的漏洞? 使用已破解或者有风险的加密算法会产生软件风险,可能导致敏感信息暴露。使用非标准算法相对危险较高,因为恶意攻击者可能会利用该算法的漏洞进而危害任何受保护的数据。 二、使用已破解或危险的加密算法导 阅读全文