Fortify漏洞之 Privacy Violation(隐私泄露)和 Null Dereference(空指针异常)

最新推荐文章于 2024-04-24 09:38:49 发布
最新推荐文章于 2024-04-24 09:38:49 发布
阅读量7k 收藏 5
点赞数 1
文章标签: 操作系统 数据库
原文链接:http://www.cnblogs.com/meInfo/p/9037784.html
版权

  继续对Fortify的漏洞进行总结,本篇主要针对 Privacy Violation(隐私泄露) 和 Null Dereference(空指针异常) 的漏洞进行总结,如下:

1.1、产生原因:

Privacy Violation 会在以下情况下发生:

1. 用户私人信息进入了程序。

2. 数据被写到了一个外部介质,例如控制台、file system 或网络。

示例 1以下代码包含了一个日志记录语句,该语句通过在日志文件中存储记录信息跟踪添加到数据库中的各条记录信息。在存储的其他数值中,getPassword() 函数可以返回一个由用户提供的、与用户帐号相关的明文密码。

pass = getPassword();
...
dbmsLog.println(id+":"+pass+":"+type+":"+tstamp);

  在以上示例中,代码采用日志的形式将明文密码记录到了文件系统中。虽然许多开发人员认为文件系统是存储数据的安全位置,但这不是绝对的,特别是在涉及到隐私问题时。

1.2、修复方案:
最低0.47元/天 解锁文章
arkqyo2595
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fortify 漏洞扫描的几种解决方式
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决。 解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题。 Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
Fortify代码扫描:Privacy Violation:Heap Inspection漏洞解决方案
热门推荐
初阶农民工的博客
01-06 2万+
漏洞引发情况: 将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。 如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。通常而言,String是所用的存储敏感数据,然而,由于String对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除String的值。除非 JVM 内存不足,否则系统不要求运...
探秘PrivacyCheck:一款强大的隐私保护工具
最新发布
gitblog_00039的博客
04-24 857
探秘PrivacyCheck:一款强大的隐私保护工具 项目地址:https://gitcode.com/MRwangqi/PrivacyCheck PrivacyCheck 是一个开源项目,旨在帮助普通用户检测并增强他们设备上的应用程序的隐私安全性。通过自动扫描和分析手机或电脑中的应用,PrivacyCheck 提供了一种简单易用的方式,让非技术人员也能理解和管理他们的数字隐私。 技术分析 Pri...
常见Fortify扫描漏洞修复方法
wl8685的专栏
07-29 5742
漏洞描述 处理方式 Privacy Violation: Autocomplete 修复 input 增加autocomplete="off" Privacy Violation 删除 Password Management: Password in Configuration File 修复 将关键字“password”修改为其他单词; Password Management: Insecure Submission 修复 form使
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
fortify安全基础知识 不同语言软件安全漏洞
05-27
- **指针错误**:未初始化的指针、空指针解引用、悬挂指针等可能导致程序崩溃或数据泄露。 - **内存泄漏**:未释放的内存会导致资源浪费,严重时可导致系统性能下降甚至崩溃。 - **类型转换错误**:不安全的类型...
FortifyVulnerabilityExporter:将Fortify漏洞数据导出到GitHub,GitLab,SonarQube等
04-07
FortifyVulnerabilityExporter允许将漏洞Fortify on Demand和Fortify软件安全中心导出到以下第三方产品和输出格式: 在将FortifyVulnerabilityExporter集成到SDLC中之前,请查看以下各节中的信息: 相关链接 下载...
Fortify解决方案手册(中文版).zip
06-16
Fortify解决方案手册(中文版)是一份详细的指南,专门针对使用Fortify和瑞云等工具在代码扫描过程中发现的安全漏洞提供解决方案。这份手册共计244页,全中文内容,旨在帮助开发人员和安全专家更好地理解和修复代码中...
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
源代码泄露漏洞是一种常见的漏洞,它发生在代码中泄露了源代码,例如泄露数据库连接字符串、加密密钥等。这种漏洞可能会导致攻击者获取敏感信息,从而实施攻击。 漏洞原理:源代码泄露漏洞发生在代码中使用了不...
处理Java程序中的内存漏洞
02-04
最近碰到一个棘手的问题,在已经展开的稳定性测试中。频繁出现Was宕机等问题,于是在征询了研发组意见后。决定对Was发生宕机前后,进行内存快照。最初的方案是在,Was启动后和发生死机时,使用HeapDump来分析具体程序调用的Java对象。但时间的快照文件却非常难以分析发生宕机时候内存堆内具体的变化情况。由于,需要准确定位到java虚拟机中堆栈的使用情况。由此,我们引用了一个新的测试分析工具jProbe对Was启动时,场景运行的开始点、Action1的结束点以及场景运行的结束点进行内存分析。jProbe的核心思想是通过对比多次快照的内存调用情况,分析出前后两次不同的内存启动后占用比率,从而引导研
fortify规则包概述
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2070813
laravel-api:Laravel和Sanctum&Fortify的基础安装,设置为API
05-24
**laravel-api: Laravel、Sanctum 和 Fortify 基础安装与API配置** Laravel 是一个基于PHP的开源Web应用框架,以其优雅的语法和丰富的生态系统深受开发者喜爱。在构建API时,Laravel 提供了强大的工具,如Sanctum和...
不安全的 HTTP请求 漏洞原理以及修复方法
it知识分享 free for nothing..
02-11 1576
不安全的 HTTP请求 漏洞原理以及修复方法
NullPointerException空指针异常) 常出现的原因和解决步骤
Java开源程序猿
12-26 5663
是 Java 开发中经常遇到的一种运行时异常,通常是因为在访问对象或调用对象的方法时,对象的引用为null。以下是常见导致。
Fortofy扫描安全漏洞解决——Null Dereference (Code Quality, Control Flow)空指针
weixin_52536274的博客
12-21 662
Null Dereference (Code Quality, Control Flow)空指针 如果不符合程序员的一个或多个假设,则通常会出现 null 指针异常。空指针问题是Fortofy安全漏洞中最容易解决的问题,不同的代码触发空指针的方式不同,本篇文章演示几个常见的空指针及解决思路。
Fortify自定义规则笔记(二)
liweibin812的博客
02-15 5945
对于自定义规则,我们需要掌握每条规则的所代表的可以检查的漏洞类型,这样,才能编写有效的自定义规则,伴随着自定义规则库的增多,Fortify SCA发现漏洞,和降低误报率会越来越低,一定程度上可以智能化的扫描系统。
Fortify漏洞之Portability Flaw: File Separator 和 Poor Error Handling: Return Inside Finally
06-09
你提到的是两个不同的Fortify漏洞,分别是Portability Flaw: File Separator和Poor Error Handling: Return Inside Finally。 Portability Flaw: File Separator是指在不同操作系统中,文件路径的分隔符不同,如果...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值