代码缺陷解读:通用异常捕获声明缺陷漏洞

admin 2022年3月29日09:18:33SecPulseの代码审计评论1 次浏览阅读模式

一、什么是通用异常捕获声明缺陷?

捕获过于广泛的异常会导致复杂的错误处理代码,该代码更可能包含安全漏洞。

二、通用异常捕获声明缺陷构成条件有哪些?

的变量。捕捉异常似乎是处理多个可能异常的有效方法。不幸的是,它会捕获所有异常类型,检查异常和运行时异常,从而造成了捕获范围过大。

三、通用异常捕获声明缺陷会造成哪些后果?

捕获范围过于广泛的异常实质上会破坏Java类型异常的目的,并且如果程序增长并开始引发新类型的异常,则变得特别危险。新的异常类型将不会受到任何关注。

四、通用异常捕获声明缺陷的防范和修补方法有哪些?

明确列出需要捕获的异常。

五、通用异常捕获声明缺陷的信息暴露缺陷样例:

  代码缺陷解读:通用异常捕获声明缺陷漏洞代码缺陷解读:通用异常捕获声明缺陷漏洞

软件安全检测工具检测上述程序代码,则可以发现代码中存在着“通用异常捕获声明” 导致的代码缺陷,如下图:

  代码缺陷解读:通用异常捕获声明缺陷漏洞代码缺陷解读:通用异常捕获声明缺陷漏洞

通用异常捕获声明缺陷在CWE中被编号为:CWE-396:Declaration of Catch for Generic Exception

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月29日09:18:33
  • 转载请务必保留本文链接:https://zone.ci/archives/secpulse/secpulse_codeaudit/2022/03/29/338306.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: