关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!
该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。
【悟空云课堂】第三十三期:表达式永假/永真(CWE-570:Expression is Always False)
什么是表达式永假/永真缺陷?
如果布尔表达式不改变程序逻辑,则完全没有必要,并且可以将其删除。如果执行逻辑与程序员的意图不匹配,这就是一个错误,布尔表达式应该被修复。
表达式永假/永真缺陷构成条件有哪些?
该软件包含一个始终为假或为真的表达式
表达式永假/永真缺陷会造成哪些后果?
无效代码可能会在代码维护期间引起问题,并可能引入漏洞。
表达式永假/永真缺陷的防范和修补方法有哪些?
布尔表达式应该有改变其值的操作。
使用静态分析工具发现这种情况。
表达式永假缺陷样例:
…
public static Properties loadProperties