一、什么是通用异常捕获声明缺陷?
捕获过于广泛的异常会导致复杂的错误处理代码,该代码更可能包含安全漏洞。
二、通用异常捕获声明缺陷构成条件有哪些?
的变量。捕捉异常似乎是处理多个可能异常的有效方法。不幸的是,它会捕获所有异常类型,检查异常和运行时异常,从而造成了捕获范围过大。
三、通用异常捕获声明缺陷会造成哪些后果?
捕获范围过于广泛的异常实质上会破坏Java类型异常的目的,并且如果程序增长并开始引发新类型的异常,则变得特别危险。新的异常类型将不会受到任何关注。
四、通用异常捕获声明缺陷的防范和修补方法有哪些?
明确列出需要捕获的异常。
五、通用异常捕获声明缺陷的信息暴露缺陷样例:
![图片[1]-代码缺陷解读:通用异常捕获声明缺陷漏洞(如何处理代码中的异常情况)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/2022/03/112.jpg)
![图片[2]-代码缺陷解读:通用异常捕获声明缺陷漏洞(如何处理代码中的异常情况)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=http://blog.itpub.net/ueditor/php/upload/image/20211009/1633760507871491.jpg)
用软件安全检测工具检测上述程序代码,则可以发现代码中存在着“通用异常捕获声明” 导致的代码缺陷,如下图:
![图片[3]-代码缺陷解读:通用异常捕获声明缺陷漏洞(如何处理代码中的异常情况)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/2022/03/28.png)
![图片[4]-代码缺陷解读:通用异常捕获声明缺陷漏洞(如何处理代码中的异常情况)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=http://blog.itpub.net/ueditor/php/upload/image/20211009/1633760507294925.png)
通用异常捕获声明缺陷在CWE中被编号为:CWE-396:Declaration of Catch for Generic Exception
本文作者:中科天齐软件安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/175717.html
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容