ITPub博客

首页 > IT基础架构 > 网络安全 > 代码安全测试第二十五期:数组声明为public final static漏洞缺陷

代码安全测试第二十五期:数组声明为public final static漏洞缺陷

原创 网络安全 作者:zktq2021 时间:2021-06-23 13:23:58 0 删除 编辑

一、什么是数组声明为public final static缺陷?

程序声明一个public final static的数组,这不足以防止修改数组的内容。

二、数组声明为public final static缺陷构成条件有哪些?

因为数组是可变对象,所以最终约束要求数组对象本身只分配一次,但不保证数组元素的值。由于数组是public的,因此恶意程序可以更改存储在数组中的值。因此,在大多数情况下,声明为public final static的数组是一个错误。

三、数组声明为public final static缺陷会造成哪些后果?

程序数据会被修改,可能产生不利影响。

四、数组声明为public final static缺陷的防范和修补方法有哪些?

大部分情况下,数组声明应为private。

五、数组声明为public final static缺陷样例:

用悟空 软件静态代码检测工具分析 述程序代码,则可以发现代码中存在着“数组声明为public final static缺陷” 导致的 代码缺陷,如下图:

数组声明为public final static缺陷在CWE中被编号为CWE-582:Array Declared Public, Final, and Static


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/70000012/viewspace-2777953/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
中科天齐软件源代码静态检测工具(SAST),为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞与逻辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。

注册时间:2021-05-14

  • 博文量
    222
  • 访问量
    77544