Fortify代码扫描:Privacy Violation:Heap Inspection漏洞解决方案

最新推荐文章于 2023-07-09 17:30:58 发布
最新推荐文章于 2023-07-09 17:30:58 发布
阅读量2.2w 收藏 29
点赞数 3
分类专栏: 代码扫描 文章标签: Fortify 代码扫描 漏洞 Privacy Violation
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyxuefeng/article/details/103862926
版权

该漏洞引发情况:

将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。

如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。通常而言,String 是所用的存储敏感数据,然而,由于 String 对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除 String 的值。除非 JVM 内存不足,否则系统不要求运行垃圾收集器,因此垃圾收集器何时运行并无保证。如果发生应用程序崩溃,则应用程序的内存转储操作可能会导致敏感数据泄漏。

所以一般使用char数组来代替String存储敏感数据。

而在存储该数据过程中,只要有String对象被使用(不论是用来存储,还是用来作为媒介转换),都可能出现该漏洞。

博主所遇情况为:

第一种(把一个char[]数组转为String中直接使用String方法或new String可能有漏洞):

char[] decryptChars = DecryptString(splits[1]);//splits是一个String[]
resultValue = String.valueOf(decryptChars);//该行引发漏洞,返回值resultValue是字符串
//resultValue = new String(decryptChars);//同上,该方法同样引发漏洞
Arrays.fill(decryptChars,' ');
if (resultValue == null) {
     throw new Exception("解密字符串失败!");
}

修改后:

char[] decryptChars = DecryptString(splits[1]);
StringBuffer sb = new StringBuffer();
for (int i = 0;i < decryptChars.length;i++){
    sb.append(decryptChars[i]);
}
Arrays.fill(decryptChars,' ');
if (sb.length()==0){
    throw new Exception("解密字符串失败!");
}

第二种(把一个byte[]转换为char[]):

byte[] bytes = HexToByte(sEncrypted);//sEncrypted是一个字符串
byte[] deBytes = DecryptStream(bytes);//加密
sDecryptChar = new String(deBytes,"ISO-8859-1");//引发漏洞,sDecryptChar是一个char[]

修改后:

import java.nio.ByteBuffer;
import java.nio.CharBuffer;
import java.nio.charset.Charset;

byte[] bytes = HexToByte(sEncrypted);
byte[] deBytes = DecryptStream(bytes);
Charset cs = Charset.forName("ISO-8859-1");
ByteBuffer bb = ByteBuffer.allocate(deBytes.length);
bb.put(bytes).flip();
CharBuffer cb = cs.decode(bb);
sDecryptChar = cb.array();

 

枫雨血痕
关注
  • 3
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Fortify漏洞Privacy Violation(隐私泄露)和 Null Dereference(空指针异常)
arkqyo2595的博客
05-14 6814
  继续对Fortify漏洞进行总结,本篇主要针对Privacy Violation(隐私泄露)和Null Dereference(空指针异常)的漏洞进行总结,如下: 1.1、产生原因: Privacy Violation 会在以下情况下发生: 1. 用户私人信息进入了程序。 2. 数据被写到了一个外部介质,例如控制台、file system 或网络。 示例 ...
fortify 漏洞扫描的几种解决方式
热门推荐
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决。 解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题。 Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
fortify漏洞修复笔记
怎么肥事
11-18 1309
fortify漏洞修复
Fortify代码扫描 Java提供解决方案支撑
weixin_45336602的博客
07-09 1878
Fortify代码扫描 Access Control: Database Mass Assignment: Insecure Binder Configuration Often Misused: File Upload Header Manipulation Server-Side Request Forgery
Fortify Audit Workbench 笔记 Privacy Violation: Heap Inspection 隐私泄露(堆检查)
马洪彪的流水账
05-10 136
Privacy Violation: Heap Inspection 隐私泄露(堆检查) Abstract 将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。 Explanation 如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。 通常而言, String 是所用的存储敏感数据,然而,由于 String 对象不可改...
处理Java程序中的内存漏洞
02-04
最近碰到一个棘手的问题,在已经展开的稳定性测试中。频繁出现Was宕机等问题,于是在征询了研发组意见后。决定对Was发生宕机前后,进行内存快照。最初的方案是在,Was启动后和发生死机时,使用HeapDump来分析具体程序调用的Java对象。但时间的快照文件却非常难以分析发生宕机时候内存堆内具体的变化情况。由于,需要准确定位到java虚拟机中堆栈的使用情况。由此,我们引用了一个新的测试分析工具jProbe对Was启动时,场景运行的开始点、Action1的结束点以及场景运行的结束点进行内存分析。jProbe的核心思想是通过对比多次快照的内存调用情况,分析出前后两次不同的内存启动后占用比率,从而引导研
Sonar&&Fortify漏洞修复
遇到对你这么好的女孩,唯有在她一丈之内。
09-02 5457
Sonar&&Fortify漏洞修复
工作中遇到的Fortify和Checkmarkx问题
qq_42199464的博客
01-04 3061
Fortify和checkmarx工作中的问题
代码审查工具fortify安全问题解决方法
06-02
整理代码审查工具fortify扫描的高中低危问题解决方法
Fortify解决方案手册(中文版).zip
06-16
Fortify,瑞云等扫描代码所出现的漏洞解决方案。包含了常规的漏洞解决方案,共244页。描述内容均为中文版
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
fortify规则库: 2019.4.0.0009 fortify规则库: 2020.1.0.0009
10-27
包括Fortify静态代码分析器(SCA),Fortify WebInspectFortify Application Defender)的安全情报。如今,MicroFocus Fortify软件安全性内容支持26种编程语言中的1,019个漏洞类别,涵盖了超过一百万个单独的API
基于Linux V4L2视频库、ASLA高级声音框架的远程视频及语音聊天.zip
04-29
基于Linux V4L2视频库、ASLA高级声音框架的远程视频及语音聊天
node-v8.7.0-x86.msi
最新发布
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v7.7.3-linux-armv6l.tar.gz
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
香色闺阁 2.56.1.ipa
04-29
香色闺阁 2.56.1.ipa
基于python智能监考系统人脸信息采集识别签到+微机电脑录屏+前置摄像头录屏+违法外设检测+源代码+注释说明+演示视频.zip
04-29
基于python实现的智能监考系统,人脸信息采集识别签到+微机电脑录屏+前置摄像头录屏+违法外设检测+源代码+注释说明+演示视频 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。
fortify 代码扫描 出现Access Control: Database 解决不了
03-21
Fortify代码扫描是一种静态代码分析工具,用于检测软件代码中的安全漏洞和潜在的软件缺陷。"Access Control: Database"是Fortify扫描结果中的一种问题,它通常表示代码中存在对数据库访问的权限控制问题。 解决"Access Control: Database"问题的方法取决于具体的代码和应用场景。一般来说,以下几个方面可能需要考虑: 1. 访问控制规则:确保在访问数据库之前进行适当的权限检查和验证,以确保只有经过授权的用户可以执行相关操作。 2. 输入验证和过滤:对于从用户输入获取的数据,应该进行适当的验证和过滤,以防止恶意用户通过构造恶意输入来绕过访问控制。 3. 数据库权限设置:确保数据库的访问权限设置正确,并且只有需要访问数据库的用户或角色具有相应的权限。 4. 安全编码实践:采用安全编码实践,如避免使用硬编码的凭证、使用参数化查询等,以减少安全漏洞的风险。 请注意,以上只是一些常见的解决方法,具体解决方案需要根据具体情况进行评估和实施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值