Unreleased Resource: Streams

已于 2022-06-24 14:43:54 修改
阅读量4.2k 收藏 3
点赞数 1
分类专栏: fortify java 文章标签: java 多线程 内存泄漏 jvm
于 2020-01-15 14:41:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misssyou/article/details/103988949
版权

1、未释放的资源:流

	以下方法从不关闭它打开的文件句柄。FileInputStream的finalize()
方法最终调用close(),但不能保证调用finalize()方法需要多长
时间。在繁忙的环境中,这可能会导致JVM耗尽其所有的文件句柄。
 no1: 
 private void processFile(String fName) throws FileNotFoundException, IOException {
	FileInputStream fis = new FileInputStream(fName);
	int sz;
	byte[] byteArray = new byte[BLOCK_SIZE];
	while ((sz = fis.read(byteArray)) != -1) {
	processBytes(byteArray, sz);
	}
}
no2.
	new InputStreamReader(new FileInputStream(File), "GBK");未定义名称,
	直接new使用,这种也导致未关闭,扫出漏洞。

	永远不要依赖finalize()来回收资源。为了调用对象的finalize()方法,垃圾回
收器必须确定该对象符合垃圾回收的条	件。因为除非JVM内存不足,否则不需要
运行垃圾收集器,所以不能保证以方便的方式调用对象的finalize()方法。当垃
圾收集器最终运行时,它可能会导致在短时间内回收大量资源,从而导致“突发”
性能和较低的总体系统吞吐量。随着系统负载的增加,这种影响变得更加明显。
最后,如果资源回收操作可能挂起(例如,如果它需要通过网络与数据库通信),
则执行finalize()方法的线程将挂起。

2、解决方案

no.1
public void processFile(String fName) throws FileNotFoundException, IOException {
FileInputStream fis;
try {
	fis = new FileInputStream(fName);
	int sz;
	byte[] byteArray = new byte[BLOCK_SIZE];
	while ((sz = fis.read(byteArray)) != -1) {
	processBytes(byteArray, sz);
    }
}
finally {
	if (fis != null) {
		safeClose(fis);
	}
  }
}

public static void safeClose(FileInputStream fis) {
	if (fis != null) {
	try {
		fis.close();
	} catch (IOException e) {
		log(e);
		}
	}
}
no.2
	FileInputStream inputStream = new FileInputStream(File)
	new InputStreamReader(inputStream , "GBK");
	最后在下面关闭inputStream即可。

No.3 如果存在超过1个流需要关闭
需要挨个将每个流用try-catch包住,如果仅用一个包含的话,假设第一个关闭是异常将直接跳出,
不执行第二个,扫描也将视为漏洞未修复
无效修改:
finally{
try{
if(流one != null){
流one.close();
}
if(流two != null){
流two .close();
}
} catch (IOException e){
e.printStackTrace();
}
}
有效修改:
finally{
try{
if(流one != null){
流one.close();
}
} catch (IOException e){
e.printStackTrace();
}
try{
if(流two != null){
流two .close();
}
} catch (IOException e){
e.printStackTrace();
}
}

Misssyou
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Unreleased Resource(资源未释放)
weixin_30710457的博客
10-13 1379
Unreleased Resource(资源未释放) 改问题好理解和解决。 当我们连接数据库, 操作文件等, 最后都进行关闭连接等操作 可以选择用using 代码块, 或者, 调用Close 或者Dispose 方法 using (var filestream = new FileStream(@"D:\test.txt", FileMode.Open)) { ...
unreleased:检查并报告特定发布分支的未发布提交
07-24
Electron 未发布提交审计 该存储库允许用户查询与所需存储库上的发布分支相关的信息。 有四种可能的操作: 报告针对特定发布分支的未发布提交。 报告针对尚未合并的特定发布.../check-unreleased 其中branch-name
java未释放资源,Java软件低级错误(一):资源未及时释放
weixin_34757565的博客
03-15 1443
¨解读:在使用文件、IO流、数据库连接等不会自动释放的资源时,应该在使用完毕后马上将其关闭。关闭资源的代码try...catch...finally的finally内执行,否则可能造成资源无法释放。案例:FileWriter fileWriter = new FileWriter("");fileWriter.append(product.toString());// 如果append()抛出异常...
fortify——Unreleased Resource: Streams
chdyiboke的博客
03-25 6406
一般有两种方法: a.手动关闭+异常处理  br.close。 b.FileUtil.closeStream(fis); 导入:import org.apache.commons.io.IOUtils; 1.  prop.load(ConfigUtil.class.getResourceAsStream("/config.properties"));    //
Unreleased Resource(未释放资源)-Streams(流)
weixin_30765505的博客
11-08 605
  java中把不同的输入/输出源(键盘、文件、网络连接等)抽象表现为Stream(流). java程序可以通过使用不同的流来访问不同的输入/输出源.而Stream(流)可以直观的理解为从数据的源(Source)到数据的接收(Sink)之间的这样一段有序数据. ps. 注意此处是Stream(流) 并不是 那款常喝的运动饮料的Scream(尖叫) 也不是冰激凌的奶油 Cream 大家看以...
解决高风险代码:Unreleased Resource: Streams
qq_45752401的博客
12-14 1439
示例: 下面的方法绝不会关闭它所打开的文件句柄。- 未明确程序的哪一部份负责释放资源。会调用 close(),但是不能确定何时会调用 finalize() 方法。在繁忙的环境中,这会导致 JVM 用尽它所。但如果攻击者能够故意触发资源泄漏,该攻击者就有可能通过耗尽资源池的方式发起 Denial of Service 攻。程序可能无法成功释放某一项系统资源。资源泄露至少有两种常见的原因: - 错误状况及其他异常情况。程序可能无法成功释放某一项系统资源。
fortify扫描 unreleased source :streams
g123321dad的博客
01-18 715
fortify扫描 unreleased source :streams 这个只需要加一个finally函数用来关闭流就可以了,但比较推荐使用可以共用的方法,我觉得这个方法应该是没什么问题的。 public static void safeCloseStreamByInterface(Closeable closeable) { if (closeable != null) { try...
解决fortify扫描出的Unreleased Resource: Streams漏洞(java语言)
wypdao的专栏
03-04 1万+
现有代码如下: 。。。 writer = connection.getOutputStream(); 。。。 其实这个问题很好解决,从漏洞字面含义大概也能看出,是没有关闭IO流导致的,解决方法如下: 。。。 writer = connection.getOutputStream(); 。。。 if(writer!=null){     writer.close(); } 。。
changelog-updater:将CHANGELOG.md中的[Unreleased]更新为当前程序包版本
05-17
更新日志更新程序 将CHANGELOG.md中的[Unreleased]更新为当前程序包版本。 希望日志遵循准则。用法使用npm安装: $ npm i -D changelog-updater 将脚本version添加到package.json : { " scripts " : { " version " ...
curlws:curlws
03-13
v0.0.1存在之后,在更新CHANGELOG以反映新版本的标头之后,将自动进行其他发行,而Unreleased标头下则没有任何内容。 对于图书馆: 在dir .github/workflows添加组织工作.github/workflows :推送,标记和发布。 ...
Python库 | dominic-0.1.3-unreleased.tar.gz
05-14
资源分类:Python库 所属语言:Python 资源全名:dominic-0.1.3-unreleased.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
pandotfiles:Pandoc的个人点文件
03-20
- Unreleased library CODEV-TOOLS 对于Python: - [conda](https://github.com/conda/conda) 脚本需要一些python软件包,但是这些要求可以通过pip处理。 安装 克隆并安装 foo@bar:pandotfiles $ pip install . ...
Fortofy扫描安全漏洞解决——Unreleased Resource: Streams未释放资源漏洞
最新发布
weixin_52536274的博客
12-24 1137
Fortofy扫描安全漏洞解决——Unreleased Resource: Streams未释放资源漏洞,多种解决方案,try-catch-finally与try-with-resources解决
STREAMS
Jasmine's Linux World
06-04 3805
  STREAMS(流)是系统V提供的构造内核设备驱动程序和网络协议包的一种通用方法,对STREAMS进行讨论的目的是为了理解系统V的终端接口,I/O多路转接中poll(轮询)函数的使用,以及基于STREAMS的管道和命名管道的实现。 流在用户进程和设备驱动程序之间提供了一条全双工通路。流无需和实际硬件设备直接会话,流也可以用来构造伪设备驱动程序。      STREAMS模块
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 4302
Fortity 安全评测结果及解决方案
2021-08-23
Ordinar__yperson的博客
08-23 86
白盒测试 1.Null Dereference:空引用 将传入为null的换成1 2.Unreleased Resource: Streams:资源未释放 若代码中资源已释放,白盒还是扫描到这个问题,那么可能是释放资源的顺序不对,修改释放资源的顺序即可 ...
关于Fortify 代码安全扫描常见问题
热门推荐
qq_33200504的博客
11-17 2万+
#Mass Assigment:Insecure Binder Configuration 问题说明: 不安全的参数绑定配置,是指我们的controller中xxxMethod(User user) 未明确指定接口所需属性,而是把整个对象所有属性暴露出去。 解决方案: 接口中入参对象未明确指定接口所需属性,而是把整个对象所有属性暴露出去。接口入参如果是某个具体对象需要使用@RequestBody标签,不需要的属性可用@JsonIgnore注解,前端接口调用时需使用标准json格式传递参数。方案参考:http
Fortify代码扫描问题及修复
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
Password Management: Hardcoded Password
Misssyou的博客
01-15 5071
1、摘要 硬编码密码可能会以一种不易补救的方式危害系统安全。 2、解释 硬编码密码从来不是个好主意。不仅硬编码的密码允许所有项目的开发人员查看密码, 它也使得解决问题极其困难。代码投入生产后,如果不修补软件,就无法更改密码。 如果受密码保护的帐户受到损害,则系统所有者必须在安全性和可用性之间进行选择。 3、例 1. DriverManager.getConnection(url, "scot...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值