5
通用异常捕获声明缺陷漏洞
source link: https://www.secpulse.com/archives/173444.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
通用异常捕获声明缺陷漏洞
一、什么是通用异常捕获声明缺陷?
捕获过于广泛的异常会导致复杂的错误处理代码,该代码更可能包含安全漏洞。
二、通用异常捕获声明缺陷构成条件有哪些?
的变量。捕捉异常似乎是处理多个可能异常的有效方法。不幸的是,它会捕获所有异常类型,检查异常和运行时异常,从而造成了捕获范围过大。
三、通用异常捕获声明缺陷会造成哪些后果?
捕获范围过于广泛的异常实质上会破坏Java类型异常的目的,并且如果程序增长并开始引发新类型的异常,则变得特别危险。新的异常类型将不会受到任何关注。
四、通用异常捕获声明缺陷的防范和修补方法有哪些?
明确列出需要捕获的异常。
五、通用异常捕获声明缺陷的信息暴露缺陷样例:
用 Wukong软件检测上述程序代码,则可以发现代码中存在着“通用异常捕获声明” 导致的代码缺陷,如下图:
通用异常捕获声明缺陷在CWE中被编号为:CWE-396:Declaration of Catch for Generic Exception
本文作者:中科天齐软件安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/173444.html
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK