数字类型的不正确转换漏洞(数字类型的数据)
一、什么是数字类型的不正确转换?从一种数据类型转换为另一种数据类型(例如从long到int )时,会忽略部分数据,造成精度损失,甚至产生不可预期的数值。如果在敏感的上下文中使用结果值,则可能...
对XML外部实体引用的不当限制漏洞(xml外部参数实体格式)
一、什么是对XML外部实体引用的不当限制?该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。XML文档可以选择...
HTTP响应拆分漏洞(http响应三部分)
一、什么是HTTP响应拆分?HTTP响应拆分是由于应用程序未对用户提交的数据进行严格过滤,如果用户输入的值中注入了CRLF字符,有可能改变HTTP报头结构。HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、L...
从finally块中return漏洞(finally块中的代码什么时候被执行)
一、什么是从finally块中return?Java中的finally一般与try一起使用,在程序进入try块之后,无论程序是因为异常而中止或其它方式返回终止的,finally块的内容一定会被执行。代码在finally块中有...
资源未关闭/释放漏洞(资源受限是什么意思)
一、什么是资源未关闭/释放?在使用临时或配套资源后,软件没有正确“清理”和删除这些资源。二、资源未关闭/释放漏洞构成条件有哪些?满足以下条件,就构成了一个该类型的安全漏洞:1、软件在使...
用不安全的授权创建临时文件漏洞(使用不安全代理是什么意思)
一、什么是用不安全的授权创建临时文件?在没有适当措施或控制的情况下打开临时文件可能会使文件、其内容和任何受它影响的函数容易受到攻击。二、用不安全的授权创建临时文件漏洞构成条件有哪些?...
调用System.exit()存在安全漏洞
一、为什么调用System.exit()存在安全漏洞?J2EE应用程序调用System.exit(),会关闭其容器。System.exit()其实是Java中结束进程的方法,调用它将关闭当前的JVM虚拟机。对于web应用程序来说,尝试...
对象只定义了Equals和Hashcode方法之一的漏洞(对象定义的语法格式)
一、什么是“违规的对象模型:对象只定义了Equals和Hashcode方法之一”的漏洞?也就是同一个对象没有同时包含equals和hashcode。因为Java对象需要遵守许多与相等相关的约束条件。其中一个约束条...
使用不安全的随机值漏洞(不安全的伪随机数)
一、什么是使用不安全的随机值?软件依赖于不可预测的数值使用了不充分的随机数导致的安全性降低。产生原因:计算机是一种按照既定算法运行的机器,因此不可能产生真正的随机性。伪随机数生成器 ...
跨站脚本漏洞(跨站脚本漏洞的英文缩写)
一、什么是跨站脚本漏洞?从用户控制的输入到输出之前,软件没有对其进行过滤或没有正确过滤,这些输出用作向其他用户提供服务的网页。二、跨站脚本(XSS)漏洞通常在哪些情况下发生?1、不可信数据...
