解决Fortify漏洞:Access Specifier Manipulation

最新推荐文章于 2024-08-15 14:33:10 发布
置顶 最新推荐文章于 2024-08-15 14:33:10 发布
阅读量1.1k 收藏 7
点赞数 7
分类专栏: Fortity漏洞 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XikYu/article/details/131042111
版权

目录

1. 什么是Fortify漏洞

2. 漏洞描述

示例:

3. 漏洞原因

4. 解决方法

示例:

1. 什么是Fortify漏洞

  •  Fortify 是一种静态代码分析工具,可用于识别源代码中的安全漏洞和错误。Fortify 检查程序是否存在潜在的安全漏洞,例如 SQL 注入、跨站点脚本攻击、缓冲区溢出、身份验证问题等。
  •  Fortify 使用一种名为“规则”的机制来检测这些漏洞。每个规则都是一个静态的模式匹配器,用于识别源代码中的特定模式或结构。当 Fortify 发现与规则匹配的代码时,它将生成一个安全漏洞警报,指出可能存在的风险并提供修复建议。
  •  Fortify 可以嵌入到软件开发流程中,在代码编写过程中自动检测安全漏洞和错误,从而帮助开发人员及早发现和解决潜在的安全威胁。

2. 漏洞描述

     AccessibleObject API 允许程序员绕过由 Java 访问说明符提供的 access control 检查。特别是它让程序员能够允许反映对象绕过 Java access control,并反过来更改私有字段或调用私有方法、行为,这些通常情况下都是不允许的

在面向对象编程中,访问修饰符(如public、private和protected)用于控制类成员的可见性和访问权限。当一个成员被声明为private时,只有在同一类中才能访问它。如果攻击者可以使用某种方式绕过这些访问修饰符的限制,他们可能会获得对私有成员的访问权限,从而导致安全问题。

例:

 Constructor<InnerClassSingleton> constructor =InnerClassSingleton.class.getDeclaredConstructor();                         
        //通过反射   越过构造器私有化
        constructor.setAccessible(true);

3. 漏洞原因

constructor.setAccessible(true)

4. 解决方法

修改成:ReflectionUtils.makeAccessible(field) // spring包下的一个工具类

示例:

入夏忆梦
关注
专栏目录
Fortify漏洞之Portability Flaw: File Separator 和 Poor Error Handling: Return Inside Finally
arkqyo2595的博客
05-16 1575
  继续对Fortify漏洞进行总结,本篇主要针对Portability Flaw: File Separator 和 Poor Error Handling: Return Inside Finally漏洞进行总结,如下: 1、Portability Flaw: File Separator(文件分隔符) 1.1、产生原因:   不同的操作系统使用不同的字符作为文件分隔符...
Fortify漏洞Access Control: Database(数据越权)
weixin_30872867的博客
05-07 2470
  继续对Fortify漏洞进行总结,本篇主要针对Access Control: Database(数据越权)的漏洞进行总结,如下: 1、Access Control: Database(数据越权) 1.1、产生原因: Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据...
Access Specifier Manipulation解决方案(Spring)
zk052300的博客
10-17 1万+
漏洞成因:field.setAccessible(true) AccessibleObject允许程序员绕过由java说明符提供的access control检查。并反过来更改私有字段或调用私有方法、行为。 这里我只在网上查到了使用spring框架下的解决方案:ReflectionUtils.makeAccessible(field); package com.example.spr...
Fortify漏洞Access Specifier Manipulation解决方案
七一
05-16 1329
在面向对象编程中,访问修饰符(如public、private和protected)用于控制类成员的可见性和访问权限。如果攻击者可以使用某种方式绕过这些访问修饰符的限制,他们可能会获得对私有成员的访问权限,从而导致安全问题。特别是它让程序员能够允许反映对象绕过 Java access control,并反过来更改私有字段或调用私有方法、行为,这些通常情况下都是不允许的。修改成:ReflectionUtils.makeAccessible(field) // spring包下的一个工具类。
CQDESEC代码漏洞检测-》Access Specifier Manipulation-》方法 setAccessible() 可更改访问说明符
java漫步天下的专栏
08-14 2556
CQDESEC代码漏洞检测-》Access Specifier Manipulation-》方法 setAccessible() 可更改访问说明符
access specifier
weixin_30411819的博客
11-17 385
java 中访问指定词由4个组成,public 、 protected、 friendly 、private 组成。private修饰的变量和方法只能在奔类中使用。常用来实现面向对象的封装思想。对外只有get set 。friendly 是包访问权限。只要在包中的类、方法、变量都可以访问。protected 权限比friendly 稍微大一点点,就是非同一个包中的子类也是可以访问的。publi...
Java 访问权限修饰词(access specifier
u011712914的专栏
08-22 839
public, protected 和      private 这几个 java 访问权限修饰词在使用时,是置于你的类 中每个成员的定义之前的,无论它是一个域或是一个方法。每个访问权限修饰词仅控制它所 修饰的特定定义的访问权。这一点与 c++截然不同。在 c++中,访问权限修饰词可以控制 其后的所有定义,除非另有访问权限修饰词出现。   无论如何,每个定义都需要某种为它指定的访问权
1. Fortify使用破解教程
weixin_64803495的博客
08-15 1092
Fortify 是Micro Focus 旗下AST(应用程序安全测试)产品,其产品组合包括: Fortify Static Code Analyzer 提供静态代码分析器(SAST),Fortify WebInspect 是动态应用安全测试软件(DAST),Software Security Center 是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。点击scan,进行扫描,等待扫描完成。根据设置的路径,找到导出的报告。
Fortify屏蔽漏洞Access Control: Database
weixin_43063748的博客
06-23 1万+
项目使用了Mybatis该如何屏蔽Access Control Database漏洞
mysql越权漏洞_Fortify漏洞Access Control: Database(数据越权)(示例代码)
weixin_32818365的博客
02-19 2923
继续对Fortify漏洞进行总结,本篇主要针对Access Control: Database(数据越权)的漏洞进行总结,如下:1、Access Control: Database(数据越权)1.1、产生原因:Database access control 错误在以下情况下发生:1. 数据从一个不可信赖的数据源进入程序。2. 这个数据用来指定 SQL 查询中主键的值。示例 ...
Fortify解决方案手册(中文版).zip
06-16
Fortify,瑞云等扫描代码所出现的漏洞解决方案。包含了常规的漏洞解决方案,共244页。描述内容均为中文版
Fortify SCA 19.zip
04-06
代码审计工具Fortify SCA 安装包v19
fortify规则包概述
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2070813
Fortify Access Control
安全新司机
10-05 930
攻击者访问未授权的数据
fortify SCA内置规则破解到简单工具开发使用
liweibin812的博客
07-10 7468
摘要:前几天无意间有个小伙伴问我要fortify 内置最新规则,突然觉得内置规则既然能扫描代码缺陷,而他本质上是使用xml语言和内置源语言来编写的,心想能不能将其还原为xml文件,这样自定义规则的时候可以进行参考,少走弯路。说干就干,下面贴上具体步骤。 1. 既然猜测是通过解析xml规则来对代码进行静态分析的,所以,fortify内部肯定对加密规则进行了解密,将其转化为xml进行静态扫描分析。所以先进行一个初步搜索fortify相关jar包。在everything中输入 fortfiy*.jar,找到和f
Access specifier 访问限定词
weixin_30776273的博客
01-07 224
Java用三个关键字在类的内部设定边界: public、private、protected public 和 private 好说。顾名思义,分别是public - 任何人都能访问,private - 创建者和内部方法才能访问。 protected和private之间的差别仅在于,继承的类能访问protected成员,但不能访问private成员。 另外,Java还有一种默认的访问权...
FORTIFY安全漏洞:路径过滤非法字符
alizhuana的博客
11-29 2166
 在上传和下载的时候,容易被攻击,主要是因为有../  ./   *  ?  等非法字符,因此需要对路径进行过滤,直接上代码: private final static Map&lt;String, String&gt; pathCharWhiteList = new HashMap&lt;String, String&gt;(); static{ //路径字符白名单 ...
针对Fortify工具扫描出几大漏洞解决办法总结--1
热门推荐
abcxy12336的博客
08-27 3万+
Fortify是一款能扫描分析代码漏洞的强大工具,这里就不详细介绍,有兴趣了解的同学可以自己找些相关资料来看看。 本人在实际工作中遇到以下漏洞,结合他人经验及自己的理解总结出一些相关解决方式,如有不足之处还望批评指正。 1.System Information Leak 系统信息泄露:当系统数据或调试信息通过输出流或者日志功能流出程序时,就会发生信息泄漏。 看下面两段代码: out.
常见fortify漏洞与整改规则
chastera的博客
04-07 2838
网页劫持:除了利用一个易受攻击的应用程序向用户传输恶意内容,还可以利用相同的根漏洞,将服务器生成的供用户使用的敏感内容重定向,转而供攻击者使用。攻击者通过提交一个会导致两个响应的请求,即服务器做出的预期响应和攻击者创建的响应,致使某个中间节点(如共享的代理服务器)误导服务器所生成的响应,将本来应传送给用户的响应错误地传给攻击者。这时,攻击者将第二个请求发送给服务器,代理服务器利用针对受害者(用户)的、由该服务器产生的这一请求对服务器做出响应,因此,针对受害者的这一响应中会包含所有头文件或正文中的敏感信息。
Fortify漏洞Access Control: Database
最新发布
08-23
Fortify漏洞中的"Access Control: Database"是一个安全漏洞类别,它通常指的是应用程序数据库访问控制存在缺陷。这类漏洞允许未授权的用户以不同的方式访问数据库中的数据,可能是通过未正确验证的查询语句、直接SQL...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

入夏忆梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值