本期主题为数字类型的不正确转换导致漏洞的相关介绍。一、什么是数字类型的不正确转换?从一种数据类型转换为另一种数据类型(例如从long到int )时，会忽略部分数据，造成精度损失，甚至产生不可...

一、什么是抛出通用异常缺陷?抛出过于宽泛的异常会导致复杂的错误处理代码，这些代码很可能包含安全漏洞。声明抛出Exception或Throwable的方法会使调用方难以执行正确的错误处理和错误恢复。例...

一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码，该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?的变量。捕捉异常似乎是处理多个可能异常的...

简介某站群原来是我们内部自己开发使用的一套程序，后来看到很多人有相似的需求，团队决定发布出来免费开源给大家使用。某公司某站群最新版本存在文件上传漏洞，攻击者可利用该漏洞获取服务器控...

一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码，该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?的变量。捕捉异常似乎是处理多个可能异常的...

本文主要为了助力企业有效防范软件安全漏洞，提升网络安全防护能力，本期主题为第五十期：可达的assertion的相关介绍。01 什么是可达的assertion?程序包含一个可以被攻击者触发的assert()或类似...

1、什么是XPath注入漏洞?XPath是一种用来在内存中导航整个XML树的语言，它使用路径表达式来选取XML文档中的节点或者节点集。XPath注入是指程序使用外部输入动态构造用于从XML数据库检索数据的XP...

1、什么是OS命令注入?软件在构造OS命令时使用了外部输入的数据，如果没有对外部输入中可能影响OS命令的特殊元素进行过滤，或是过滤不充分/不正确，就有受到OS命令注入攻击的风险。OS命令注入缺...

对于硬编码密码，Immunity公司威胁情报负责人曾表示，这项常见的开发者漏洞不仅广泛存在，而且在短时间内似乎也不太可能被彻底解决。早在2016年Fortinet防火墙发现硬编码后门，尽管该公司否认硬...

本期主题为会话固定(CWE-384: Session Fixation)漏洞的相关介绍。一、什么是会话固定?对用户进行身份鉴别并建立一个新的会话时没有让原来的会话失败。二、会话固定漏洞的构成条件有哪些?当用户...