Fortify代码扫描:Privacy Violation:Heap Inspection漏洞解决方案

最新推荐文章于 2023-07-09 17:30:58 发布
最新推荐文章于 2023-07-09 17:30:58 发布
阅读量2.3w 收藏 33
点赞数 3
分类专栏: 代码扫描 文章标签: Fortify 代码扫描 漏洞 Privacy Violation
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyxuefeng/article/details/103862926
版权

该漏洞引发情况:

将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。

如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。通常而言,String 是所用的存储敏感数据,然而,由于 String 对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除 String 的值。除非 JVM 内存不足,否则系统不要求运行垃圾收集器,因此垃圾收集器何时运行并无保证。如果发生应用程序崩溃,则应用程序的内存转储操作可能会导致敏感数据泄漏。

所以一般使用char数组来代替String存储敏感数据。

而在存储该数据过程中,只要有String对象被使用(不论是用来存储,还是用来作为媒介转换),都可能出现该漏洞。

博主所遇情况为:

第一种(把一个char[]数组转为String中直接使用String方法或new String可能有漏洞):

char[] decryptChars = DecryptString(splits[1]);//splits是一个String[]
resultValue = String.valueOf(decryptChars);//该行引发漏洞,返回值resultValue是字符串
//resultValue = new String(decryptChars);//同上,该方法同样引发漏洞
Arrays.fill(decryptChars,' ');
if (resultValue == null) {
     throw new Excep
最低0.47元/天 解锁文章
枫雨血痕
关注
专栏目录
Fortify漏洞Privacy Violation(隐私泄露)和 Null Dereference(空指针异常)
arkqyo2595的博客
05-14 7179
  继续对Fortify漏洞进行总结,本篇主要针对Privacy Violation(隐私泄露)和Null Dereference(空指针异常)的漏洞进行总结,如下: 1.1、产生原因: Privacy Violation 会在以下情况下发生: 1. 用户私人信息进入了程序。 2. 数据被写到了一个外部介质,例如控制台、file system 或网络。 示例 ...
fortify 漏洞扫描的几种解决方式
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决。 解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题。 Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
Fortify Audit Workbench 笔记 Privacy Violation: Heap Inspection 隐私泄露(堆检查)
马洪彪的流水账
05-10 253
Privacy Violation: Heap Inspection 隐私泄露(堆检查) Abstract 将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。 Explanation 如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。 通常而言, String 是所用的存储敏感数据,然而,由于 String 对象不可改...
Fortify代码扫描 Java提供解决方案支撑
weixin_45336602的博客
07-09 2920
Fortify代码扫描 Access Control: Database Mass Assignment: Insecure Binder Configuration Often Misused: File Upload Header Manipulation Server-Side Request Forgery
CWE-244: Improper Clearing of Heap Memory Before Release ('Heap Inspection') 释放前堆内存清除不当(“堆检查”)
plstudio1的博客
04-14 939
ID: 244 类型:变量 结构:简单 状态:草稿 描述 使用realloc()调整存储敏感信息的缓冲区的大小可以使敏感信息暴露在攻击中,因为它不会从内存中删除。 扩展描述 当敏感数据(如密码或加密密钥)未从内存中删除时,使用“堆检查”攻击(使用内存转储或其他方法读取敏感数据)可能会暴露给攻击者。realloc()函数通常用于增加已分...
Full GC(Heap Inspection Initiated GC)
三侠剑的博客
09-01 2940
2020-09-01T15:13:19.041+0800: 91164.506: [Full GC (Heap Inspection Initiated GC) 1380M->195M(4096M), 1.4889058 secs] [Eden: 1136.0M(2410.0M)->0.0B(2456.0M) Survivors: 46.0M->0.0B Heap: 1380.3M(4096.0M)->195.4M(4096.0M)], [Metaspace: 93789...
heap corruption detected错误解决方法调试方法以及内存管理相关
程序员的自我修养_Will.zhang
05-18 3186
1、heap corruption detected http://vopit.blog.51cto.com/2400931/645980   heap corruption detected:after normal block(#xxx) at 0x xxxxxxxx crt detected that the application wrote to menory after end
Spring boot项目Fortify漏洞扫描问题解决
夏日清风
09-01 5289
一、背景 前段时间公司使用Fortify工具对项目源码进行安全漏洞扫描,结果报出Dynamic Code Evaluation: Unsafe Deserialization漏洞。整个项目是基于Spring boot框架开发的。 二、问题源 Fortify工具明确指出该安全漏洞是由于引入了Spring Boot Actuator依赖导致的 <dependency> <groupId>org.springframework.boot</grou...
【web漏洞百例】1.日志伪造、堆检查
程序猿之洞
03-16 1万+
一、日志伪造(Log Forging) 描述: 将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内容注入日志。 举例: 在以下情况或发生“日志伪造”的漏洞: 1.数据从一个不可信的数据源进入应用程序 2.数据写入到应用程序或系统日志文件中 为了便于以后的审阅、统计数据或调试,应用程序通常使用日志文件来存储事务的历史记录。根据 应用程序自身的特性,审阅日志
代码审查工具fortify安全问题解决方法
06-02
在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,并Provide详细的解决方案。 SQL Injection SQL Injection是最常见的安全问题之一。它发生在应用程序将用户输入的数据直接嵌入到SQL语句中,攻击者可以...
fortify代码扫描使用教程
热门推荐
weixin_42464155的博客
09-13 6万+
配置信息:HP Fortify SCA and Applications 4.10+WIN7(64位家庭版) 打开fortify的工作台,选择Advanced  Scan(如果你知道源代码是java的可以选择Scan Java,C#可以选择Scan VS,不知道的话就选Advanced Scan) 选择代码文件夹,如果代码文件很大,建议拆开一个文件夹一个文件夹扫描 确定后,弹出通知框...
常见Fortify扫描漏洞修复方法
wl8685的专栏
07-29 6104
漏洞描述 处理方式 Privacy Violation: Autocomplete 修复 input 增加autocomplete="off" Privacy Violation 删除 Password Management: Password in Configuration File 修复 将关键字“password”修改为其他单词; Password Management: Insecure Submission 修复 form使
代码安全检测工具高效去误报
snow_l的博客
07-17 815
代码安全测试工具当然是有用的,存在即合理嘛。再说,还是有那么多的大企业,银行,检测机构都在使用源代码安全检测工具来检测代码安全,所以有用是肯定的。 当然,很多技术人员都在说源代码安全检测工具的误报率很高,在我看来也不能直接说一定是很高的,这个关键是看用的好坏和会不会用。一方面任何一个测试工具都会有一定的误报,源代码安全检测所检测出来的都是可能的漏洞,一般开发人员对于漏洞的理解,或者说潜在的、可能...
JVM深入解析
渣渣想逆袭
03-07 205
Java运行时数据区: Java虚拟机在执行Java程序的过程中会将其管理的内存划分为若干个不同的数据区域,这些区域有各自的用途、创建和销毁的时间,有些区域随虚拟机进程的启动而存在,有些区域则是依赖用户线程的启动和结束来建立和销毁。Java虚拟机所管理的内存包括以下几个运行时数据区域,如图: 1、程序计数器:指向当前线程正在执行的字节码指令。线程私有的。 2、虚拟机栈:虚拟机栈是Java执...
快醒醒吧!互联网大厂面试必问的JVM底层原理,你还搞不清楚?
QAQFyl的博客
01-31 2440
Java运行时数据区: Java虚拟机在执行Java程序的过程中会将其管理的内存划分为若干个不同的数据区域,这些区域有各自的用途、创建和销毁的时间,有些区域随虚拟机进程的启动而存在,有些区域则是依赖用户线程的启动和结束来建立和销毁。Java虚拟机所管理的内存包括以下几个运行时数据区域,如图: 1、程序计数器:指向当前线程正在执行的字节码指令。线程私有的。 2、虚拟机栈:虚拟机栈是Java执行方法的内存模型。每个方法被执行的时候,都会创建一个栈帧,把栈帧压人栈,当方法正常返回或者抛出未捕获的异常时
fortify 代码扫描 出现Access Control: Database 解决不了
最新发布
03-21
Fortify代码扫描是一种静态代码分析工具,用于检测软件代码中的安全漏洞和潜在的软件缺陷。"Access Control: Database"是Fortify扫描结果中的一种问题,它通常表示代码中存在对数据库访问的权限控制问题。 解决"Access Control: Database"问题的方法取决于具体的代码和应用场景。一般来说,以下几个方面可能需要考虑: 1. 访问控制规则:确保在访问数据库之前进行适当的权限检查和验证,以确保只有经过授权的用户可以执行相关操作。 2. 输入验证和过滤:对于从用户输入获取的数据,应该进行适当的验证和过滤,以防止恶意用户通过构造恶意输入来绕过访问控制。 3. 数据库权限设置:确保数据库的访问权限设置正确,并且只有需要访问数据库的用户或角色具有相应的权限。 4. 安全编码实践:采用安全编码实践,如避免使用硬编码的凭证、使用参数化查询等,以减少安全漏洞的风险。 请注意,以上只是一些常见的解决方法,具体解决方案需要根据具体情况进行评估和实施。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值