CQDESEC代码漏洞检测-》Access Specifier Manipulation-》方法 setAccessible() 可更改访问说明符

最新推荐文章于 2024-06-13 16:40:02 发布
最新推荐文章于 2024-06-13 16:40:02 发布
阅读量2.5k 收藏 3
点赞数 1
分类专栏: 技术心得 java基础编程 文章标签: java jvm 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java173842219/article/details/126331443
版权

漏洞代码展示:

有安全漏洞的代码:field.setAccessible(true),field.setAccessible(true) 允许程序员绕过java访问说明符access control 检查来改变似有变量或者调用私有方法。这些情况是不允许的。

public static void test() {
        try{
            Object obj = FieldDomain.class.newInstance();
            Class<FieldDomain> clazz = FieldDomain.class;
            Field field = clazz.getDeclaredField("name");
            field.setAccessible(true);
            if(field.getType() == String.class){
                field.set(obj,"Chow");
            }
        }catch(Exception e){
            e.printStackTrace();
        }
    }

解决方案:

解决漏洞后代码展示:不要通过调用 java.lang.reflect.Field 的 setAccessible 方法来更改属性的访问修饰符。而是基于 org.springframework.util.ReflectionUtils 的 makeAccessible 方法来更改属性的访问修饰符。

public static void test2() {
        try{
            Object obj = FieldDomain.class.newInstance();
            Class<FieldDomain> clazz = FieldDomain.class;
            Field field = clazz.getDeclaredField("name");
            ReflectionUtils.makeAccessible(field);
            if(field.getType() == String.class){
                field.set(obj,"Chow");
            }
        }catch(Exception e){
            e.printStackTrace();
        }
    }

java漫步天下
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Sonar&&Fortify漏洞修复
遇到对你这么好的女孩,唯有在她一丈之内。
09-02 5852
Sonar&&Fortify漏洞修复
Access Specifier Manipulation解决方案(Spring)
zk052300的博客
10-17 1万+
漏洞成因:field.setAccessible(true) AccessibleObject允许程序员绕过由java说明符提供的access control检查。并反过来更改私有字段或调用私有方法、行为。 这里我只在网上查到了使用spring框架下的解决方案:ReflectionUtils.makeAccessible(field); package com.example.spr...
安扫提示field.setAccessible(true)漏洞问题(java Spring)
发呆中!
07-23 7234
代码安全扫描提示出field.setAccessible(true)漏洞问题: 提示: AccessibleObject类Field,Method和Constructor对象的基类,能够允许反射对象修改访问权修饰符,绕过由Java访问修饰符提供的访问控制检查,它让程序员能够更改私有字段或调用稀有方法,这在通常情况下是不允许的。 网上查到了在spring框架下的解决方案:ReflectionUtils.makeAccessible(field)(该方法是spring针对反射提供的工具类)。 ...
安全风险 - 如何解决 setAccessible(true) 带来的安全风险?
最新发布
qq_53058639的博客
06-13 657
可能每款成熟的金融app上架前都会经过层层安全检测才能执行上架,所以我隔三差五就能看到安全检测报告中提到的问题,根据问题的不同级别,处理的优先级也有所不同,此次讲的主要是一个“轻度问题” ,个人认为属于那种可改不可改的状态。
Fortify漏洞Access Specifier Manipulation解决方案
七一
05-16 1220
在面向对象编程中,访问修饰符(如public、private和protected)用于控制类成员的可见性和访问权限。如果攻击者可以使用某种方式绕过这些访问修饰符的限制,他们可能会获得对私有成员的访问权限,从而导致安全问题。特别是它让程序员能够允许反映对象绕过 Java access control,并反过来更改私有字段或调用私有方法、行为,这些通常情况下都是不允许的。修改成:ReflectionUtils.makeAccessible(field) // spring包下的一个工具类。
解决Fortify漏洞Access Specifier Manipulation
林夕
06-05 1043
Fortify 是一种静态代码分析工具,可用于识别源代码中的安全漏洞和错误。Fortify 检查程序是否存在潜在的安全漏洞,例如 SQL 注入、跨站点脚本攻击、缓冲区溢出、身份验证问题等。Fortify 使用一种名为“规则”的机制来检测这些漏洞。每个规则都是一个静态的模式匹配器,用于识别源代码中的特定模式或结构。当 Fortify 发现与规则匹配的代码时,它将生成一个安全漏洞警报,指出可能存在的风险并提供修复建议。
field.setAccessible(true);代码扫描有安全漏洞,解决方案
qq_44293888的博客
08-18 1万+
AccessibleObject类是Field、Method和Constructor对象的基类,能够允许反射对象修改访问权限修饰符,绕过由Java访问修饰符提供的访问控制检查。它让程序员能够更改私有字段或调用私有方法,这在通常情况下是不允许的。 例如:以下代码片段中,将Field将accessible标记设置为true。 Class clazz = User.class; Field field = clazz.getField("name"); field.setAccessible(true); ...
JAVA-WEB常见漏洞-本地命令执行漏洞
Websec
11-24 1780
本地命令执行漏洞 攻击者一旦可以在服务器中执行任意本地系统命令就意味着服务器已被非法控制,在Java中可用于执行系统命令的方式有API有:java.lang.Runtime、java.lang.ProcessBuilder、java.lang.UNIXProcess/ProcessImpl。 1. Java本地命令执行测试 示例 - 存在本地命令执行代码(java.lang.Runtime): <%@ page contentType="text/html;charset=UTF-8" la
fortify漏洞修复笔记
怎么肥事
11-18 1531
fortify漏洞修复
Appendix-A C−−语言的文法定义和补充说明
10-02
C--是一种简化版的C语言,它在编译原理中被用作教学和理解编程语言基本构造的工具。本文档的附录A详细地定义了C--语言的文法规则...通过这些规则,我们可以将源代码转换为可执行的机器码,或者进行语法分析和错误检测
cpp代码-c++类测试
07-16
- `public`:公共成员,可被任何代码访问。 - `private`:私有成员,只能在类的内部访问。 - `protected`:保护成员,对类的子类和本类可见。 5. **构造函数**: 构造函数是一种特殊类型的成员函数,用于初始化...
cpp代码-C和C++的不同-5继承不同
07-14
这里的`access_specifier`可以是`public`、`private`或`protected`,用于指定继承的访问权限。 4. 访问修饰符的影响 C++中的继承可以带有访问修饰符,这决定了子类如何访问父类的成员。`public`继承意味着子类可以...
工作中遇到的Fortify和Checkmarkx问题
qq_42199464的博客
01-04 3608
Fortify和checkmarx工作中的问题
处理安全检查的项目代码异常解决记录
weixin_41914010的博客
03-22 4347
处理安全检查的项目代码异常解决记录
field.setAccessible(true)问题
cdliker的博客
06-30 1763
field.setAccessible(true)的作用就是能够正常的方位私有属性 但其实在使用field.getName(“fieldName”)访问私有属性时不设置field.setAccessible(true),不会报错,真正报错的地方是field.get(对象) https://blog.csdn.net/qq1137623160/article/details/106615058 解决安全漏洞问题 https://blog.csdn.net/onemoster/article/detai.
Fortify代码扫描问题及修复
热门推荐
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
Java代码审计rce漏洞
m0_55772907的博客
11-15 815
代码审计
Access Specifier Manipulation是什么
03-28
Access Specifier Manipulation访问控制修饰符操纵)是指在面向对象编程中,通过改变成员变量或成员函数的访问控制修饰符(如public、private、protected)来改变其访问权限的一种技术。这种技术可以使得被隐藏的成员变量或成员函数得以被访问,进而实现一些特定的功能。但是,这种做法可能会破坏类的封装性和数据安全性,因此需要谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值