EmptySynchronized Block空的同步块缺陷漏洞分析
source link: https://www.secpulse.com/archives/172905.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
EmptySynchronized Block空的同步块缺陷漏洞分析
由于CWE对源代码缺陷描述的准确性和权威性,源代码缺陷检测厂家逐渐在产品和服务中引用CWE中的相关信息。CWE(Common Weakness Enumeration,通用缺陷枚举)是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。CVE(Common Vulnerabilities & Exposures,常用漏洞和风险)。CVE是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它的使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。
接下来为大家主要讲解CWE-585空的同步块缺陷漏洞分析,有想法的同学可以一起加入讨论。
一. 漏洞信息
1. 漏洞简述:什么是空的同步块缺陷?
空的同步块实际上并不能完成任何同步,并且可能是有问题的代码段。空的同步块可能是因为在不删除同步块的情况下,注释掉了同步块中不再需要的代码导致的。
2. 空的同步块缺陷构成条件有哪些?
该程序包含一个空的同步块。
3. 空的同步块缺陷会造成哪些后果?
空的同步块将会等待,直到没有人正在使用指定的同步器。虽然这可能是所需行为的一部分,但由于您没有通过将后续代码放在同步块中来保护后续代码,所以无法阻止其他人修改您在运行后续代码时所等待的内容。
二、漏洞样例
1. 空的同步块缺陷样例:
2. 用 静态代码安全检测工具分析上述程序代码,则可以发现代码中存在着“空的同步块” 导致的代码缺陷,如下图:
三、空的同步块缺陷的防范和修补方法有哪些?
当您遇到空的同步语句或其中代码已被注释掉的同步语句时,请尝试确定最初的意图以及是否仍然需要同步块。
本文作者:中科天齐软件安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/172905.html
Recommend
-
86
利用OAM加密缺陷漏洞构造任意用户身份测试
-
3
dotnet 使用 Infer# 自动分析代码缺陷本文告诉大家如何使用 Infer# 开源库配合 GitHub 的 Action 实现自动分析代码缺陷,如找到可空引用或线程安全等问题 这是一个在 GitHub 上完全开源的仓库,请看
-
2
加密强度不足缺陷漏洞 一、什么是加密强度不足? 大多数密码系统都需要足够的密钥大小来抵御暴力攻击。软件使用理论上合理的加密方案存储或传输敏感数据,但强度不足以...
-
4
使用过时方法缺陷漏洞 一、什么是使用过时方法缺陷? 代码使用了不推荐使用的或已经过时的方法,这表明该代码没有得到积极地审查或维护。 随着编程语言的发展,...
-
3
表达式永假/永真缺陷缺陷漏洞 一、什么是表达式永假/永真缺陷? 如果布尔表达式不改变程序逻辑,则完全没有必要,并且可以将其删除。如果执行逻辑与程序员的意图不匹配...
-
5
通用异常捕获声明缺陷漏洞 一、什么是通用异常捕获声明缺陷? 捕获过于广泛的异常会导致复杂的错误处理代码,该代码更可能包含安全漏洞。 二、通用异常...
-
11
漫谈软件缺陷与漏洞 2
-
3
Example Domain This domain is for use in illustrative examples in documents. You may use this domain in literature without prior coordination or asking for permission.
-
5
从去年年底到现在,随着疫情的反复,很多城市的一码通系统出现了故障,这证明一码通系统在技术上还存在一些不足,所以本次分享将介绍如何利用 PAST 问题解决框架,从架构和设计方面研究和解决这些问题。01 PAST 问题解决框架...
-
3
V2EX › 程序员 bitwarden 的两个功能缺陷:导出,同步
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK