该漏洞引发情况:
将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。
如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。通常而言,String
是所用的存储敏感数据,然而,由于 String
对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除 String
的值。除非 JVM 内存不足,否则系统不要求运行垃圾收集器,因此垃圾收集器何时运行并无保证。如果发生应用程序崩溃,则应用程序的内存转储操作可能会导致敏感数据泄漏。
所以一般使用char数组来代替String存储敏感数据。
而在存储该数据过程中,只要有String对象被使用(不论是用来存储,还是用来作为媒介转换),都可能出现该漏洞。
博主所遇情况为:
第一种(把一个char[]数组转为String中直接使用String方法或new String可能有漏洞):
char[] decryptChars = DecryptString(splits[1]);//splits是一个String[]
resultValue = String.valueOf(decryptChars);//该行引发漏洞,返回值resultValue是字符串
//resultValue = new String(decryptChars);//同上,该方法同样引发漏洞
Arrays.fill(decryptChars,' ');
if (resultValue == null) {
throw new Excep