一、什么是未使用的变量缺陷?
变量已赋值但从未使用过,这使其成为无意义的变量。
二、未使用的变量缺陷构成条件有哪些?
当一个局部变量被赋了一个值,而该值没有被任何后续指令使用时,就会出现未使用的变量。
三、未使用的变量缺陷会造成哪些后果?
计算或检索一个值,然后重写或丢弃它,可能表明代码中存在严重错误。即使这不是一个严重的错误,也是一种资源浪费。
四、未使用的变量缺陷的防范和修补方法有哪些?
从代码中删除未使用的变量。
五、通过错误消息导致的信息暴露缺陷样例:
![图片[1]-未使用的变量缺陷漏洞(使用变量之前可能未定义该变量)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/2021/12/1-15.jpg)
用软件静态代码检测工具分析 上述程序代码,则可以发现代码中存在着“未使用的变量” 导致的 代码缺陷,如下图:
![图片[2]-未使用的变量缺陷漏洞(使用变量之前可能未定义该变量)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/2021/12/2-14.jpg)
未使用的变量缺陷在CWE中被编号为CWE-563:Assignmentto Variable without Use
本文作者:中科天齐软件安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/170735.html
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容