对XML外部实体引用的不当限制(对xml内部实体扩展没有防护作用的是)
01 什么是对XML外部实体引用的不当限制?该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。XML文档可以选择包...
数字类型的不正确转换漏洞(数字类型的数据)
本期主题为数字类型的不正确转换导致漏洞的相关介绍。一、什么是数字类型的不正确转换?从一种数据类型转换为另一种数据类型(例如从long到int )时,会忽略部分数据,造成精度损失,甚至产生不可...
数组声明为public final static缺陷
本期主题为数组声明为public final static缺陷漏洞的相关介绍。一、什么是数组声明为public final static缺陷?程序声明一个public final static的数组,这不足以防止修改数组的内容。二、数组声...
通过错误消息导致的信息暴露(错误的信息导致的结果案例)
一、什么是通过错误消息导致的信息暴露缺陷?软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。二、通过错误消息导致的信息暴露缺陷构成条件有哪些?敏感信息本身可能是有...
HTTPS会话里的敏感Cookie没有设置Secure属性
本次主题为HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷漏洞的相关介绍。一、什么是HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷?HTTPS会话里的敏感Cookie没有设...
通用异常捕获声明缺陷漏洞(异常捕获原则)
一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码,该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?的变量。捕捉异常似乎是处理多个可能异常的...
Java代码审计之路 – 实战经验总结分享
文章来源|MS08067 JAVA代码审计实战班 第2期本文作者:0r3xu(Java代码审计2班学员) 本文作者:Ms08067安全实验室 本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archiv...
使用错误的运算符进行字符串比较缺陷漏洞(使用错误的程序属于什么失误)
一、什么是使用错误的运算符进行字符串比较缺陷?比较字符串时,使用了错误的运算符,例如当应使用equals()方法代替时,使用“==”。二、使用错误的运算符进行字符串比较缺陷的构成条件有哪些?使...
表达式永假/永真缺陷缺陷漏洞(判断永真式和永假式)
一、什么是表达式永假/永真缺陷?如果布尔表达式不改变程序逻辑,则完全没有必要,并且可以将其删除。如果执行逻辑与程序员的意图不匹配,这就是一个错误,布尔表达式应该被修复。二、表达式永假...
加密强度不足缺陷漏洞(加密强度 取决于)
一、什么是加密强度不足?大多数密码系统都需要足够的密钥大小来抵御暴力攻击。软件使用理论上合理的加密方案存储或传输敏感数据,但强度不足以达到所需的保护级别。RSA是目前最有影响力和最常用...
