一、什么是数组声明为public final static缺陷?
程序声明一个public final static的数组,这不足以防止修改数组的内容。
二、数组声明为public final static缺陷构成条件有哪些?
因为数组是可变对象,所以最终约束要求数组对象本身只分配一次,但不保证数组元素的值。由于数组是public的,因此恶意程序可以更改存储在数组中的值。因此,在大多数情况下,声明为public final static的数组是一个错误。
三、数组声明为public final static缺陷会造成哪些后果?
程序数据会被修改,可能产生不利影响。
四、数组声明为public final static缺陷的防范和修补方法有哪些?
大部分情况下,数组声明应为private。
五、数组声明为public final static缺陷样例:
![图片[1]-数组声明为public final static漏洞缺陷-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/2021/12/1-11.jpg)
用软件静态代码检测工具分析 上述程序代码,则可以发现代码中存在着“数组声明为public final static缺陷” 导致的 代码缺陷,如下图:
![图片[2]-数组声明为public final static漏洞缺陷-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/2021/12/2-11.jpg)
数组声明为public final static缺陷在CWE中被编号为CWE-582:Array Declared Public, Final, and Static
本文作者:中科天齐软件安全
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/170511.html
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容