CWE-462: Duplicate Key in Associative List (Alist) 关联列表中的重复键

最新推荐文章于 2023-02-26 16:18:59 发布
最新推荐文章于 2023-02-26 16:18:59 发布
阅读量269 收藏
点赞数
分类专栏: 漏洞检查 文章标签: 重复键值漏洞 哈西表 键值重复 漏洞检查 静态分析

 

 ID: 462

类型:基础
结构:简单

状态:未完成

 

描述

关联列表中的重复键可能导致非唯一键被误认为是错误

扩展描述

一个重复的键条目——如果alist设计正确的话——可以用作一个常量时间替换函数。但是,重复的键条目可能会被错误地插入。由于这种模糊性,建议不要在关联列表中使用重复的键条目,也不应允许使用重复的键条目。

相关视图

与“研究层面”视图(CWE-1000)相关

与“开发层面”视图(CWE-699)相关

引入模式

阶段

说明

架构与设计

 

实现

 

应用平台

 语言

C (出现的可能性不确定)

C++ (出现的可能性不确定)

Java (出现的可能性不确定)

C# (出现的可能性不确定)

后果

范围

冲击

可能性

其它

技术冲击: 质量下降;根据上下文而变

 

被利用的可能性:

示例

例1

下面的代码将数据添加到列表中,然后尝试对数据进行排序。

(问题代码)

Example Language: Python 

alist = []
while (foo()): #now assume there is a string data with a key basename

queue.append(basename,data)
queue.sort()

因为basename不一定是唯一的,所以它可能不会按照人们希望的方式进行排序。.

应对措施

阶段: 架构与设计

使用哈希表替代线性列表

阶段: 架构与设计

在插入条目之前,使用一个清单检查每个条目的哈希键的唯一性。

种属

关系

类型

ID

名称

属于

744

CERT C Secure Coding Standard (2008) Chapter 11 - Environment (ENV)

属于

878

CERT C++ Secure Coding Section 10 - Environment (ENV)

属于

977

SFP Secondary Cluster: Design

plstudio1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SortedList集合 或值可重复 键值不可重复的实现
重 头 再 来
11-09 5930
问题由上篇而来using System.Collections.Generic; using System; namespace pdfToExcel{ class MySortList:SortedList { private class MyComparer : IComparer {
mysql archive 索引_mysql archive存储引擎导入数据报duplicate key
weixin_33170268的博客
01-27 189
DROP TABLE IF EXISTS `test`;CREATE TABLE `test` (`id` int(10) unsigned NOT NULL AUTO_INCREMENT,`version` varchar(25) DEFAULT NULL COMMENT ‘版本号’,PRIMARY KEY (`id`)) ENGINE=ARCHIVE AUTO_INCREMENT=5365 D...
Common Weakness Enumeration (CWE) 2021 Lastest
std86021的博客
03-27 759
Common Weakness Enumeration (CWE™) is a community-developed list of common software and hardware weakness types that have security ramifications. “Weaknesses” are flaws, faults, bugs, or other errors in software or hardware implementation, code, design, or
CWE源码
冲冲冲
03-22 833
CWE(Character-enhanced Word Embedding), learn embedding jointly for word but ignores radicals CWE源码
「 网络安全常用术语解读 」通用缺陷枚举CWE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
02-26 7329
Common Weakness Enumeration,简称CWE,它是由MITRE公司维护的一个开放的、可扩展的通用语言,用于描述软件及硬件缺陷。CWE可以让安全研究人员、开发人员和安全管理人员能够更好地理解和解决安全问题。CWE本质就是一个软件和硬件缺陷类型列表,当前最新版本为4.10。本文所提到的缺陷指软件、固件、硬件或服务组件的一种状态,在某些情况下,可能导致漏洞的引入。
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...]码头工人从Docker Hub提取图像docker pull lirantal/cwe-tooldocker...
CWE-checker分析.pptx
最新发布
10-24
7. CWE-332:PRNG熵不足 8. CWE-367:时检时间使用(TOCTOU)竞争条件 9. CWE-416:在释放后使用 10. CWE-415:双重释放 11. CWE-426:不受信任的搜索路径 12. CWE-467:对指针类型使用sizeof() 13. CWE-476:空...
CWE List Version 4.12
09-07
1. CWE-5:J2EE配置错误:数据传输未加密。这个弱点指出,在J2EE应用程序,如果数据传输没有进行加密,那么敏感信息可能被间人攻击者截取,导致数据泄露。 2. CWE-6:J2EE配置错误:会话ID长度不足。不足够的...
cwe_checker:cwe_checker在二进制可执行文件找到易受攻击的模式
02-06
cwe_checker 注意:最近,我们将默认分析后端从BAP更改为较新的Ghidra后端。 该开关会在命令行界面和docker映像界面引起一些更改。 请确保相应地更新脚本! 或者,稳定版本仍使用旧界面。什么是cwe_checker? cwe_...
check-cve-2019-19781:测试主机对CVE-2019-19781的敏感性
03-08
check-cve-2019-19781 :magnifying_glass_tilted_right: :lady_beetle: 该实用程序确定主机是否似乎容易受到。 要求 Python 3.6及更高版本。 请注意,不支持Python 2。 安装 从发行版: ... 来自来源: ...
代码安全_弱点(脆弱性)分析 CWE漏洞、防御机制
sun0322
03-30 2142
CWE Common Weakness Enumeration ■ListCWE-117: Improper Output Neutralization for Logs   The software does not neutralize or incorrectly neutralizes output that is written to logs. http://...
【数据结构】键值对(哈希
璃夂
12-25 5860
1.哈希的定义 Hash的原意为“杂凑”,所以哈希也叫做“散列表”。 定义:若关字为k,则其值存放在f(k)的存储位置上。 示例如下: 2.构造哈希函数 2.1直接定址法 2.2数字分析法 2.3平方取法 2.4折叠法 2.5除留余数法 2.6随机数法 ...
python列表的元素可以重复吗_python列表是否允许重复
weixin_39974409的博客
12-06 1万+
Python列表允许重复,下面我们就来介绍几种判断列表是否重复的方法:一、用set方法去重后与原列表长度比较lst=[1,3,5,3,4,4,2,9,6,7]set_lst=set(lst)#set会生成一个元素无序且不重复的可迭代对象,也就是我们常说的去重iflen(set_lst)==len(lst):print('列表里的元素互不重复!')else:print('列表里有重复的元素!')二...
CWE通用缺陷对照记录
weixin_45513192的博客
10-14 4880
CWE通用缺陷对照记录 CWE-1 : Location CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’) CWE-116 : Improper Encoding or Escaping of Output CWE-118 : Improper Access of Indexable Resource (‘Range Error’) CWE-119 : Buffer
数据结构之线性结构(二,联合数组等)
GeneralYY0的专栏
12-04 916
词: 数据结构 联合数组 栈 队列                                            数据结构之线性结构(二,联合数组等) 作者:冲出宇宙 时间:2006.10.24 修改:2006.11.3 3 联合数组(Associative array)   联合数组的别名有:Map,Hash,Dictionay, finite map, l
stream List 转map ,重复key,value转为集合
Pichairen
05-20 2070
https://blog.csdn.net/qianhuan_/article/details/107462638
Java8 Duplicate key 异常解决
热门推荐
过河的小卒子的博客
09-07 5万+
Java8 Duplicate key 异常解决 1.在我们使用Java8提供的list 转换map方法时,可能回出现下面的问题: java.lang.IllegalStateException: Duplicate key...     产生这个问题的原因时我们参与转换的list,作为key的属性有重复,没有办法确定使用哪个元素来作为 转换后map的value,下面的例子可以复现这个场景: @Test public void duplic.
Confluence 6 "Duplicate Key" 相关问题解决
OSSEZTEC 专栏
06-27 822
如果你遇到了下面的错误信息,例如: could not insert: [bucket.user.propertyset.BucketPropertySetItem#bucket.user.propertyset.BucketPropertySetItem@a70067d3]; SQL []; Violation of PRIMARY KEY constraint 'PK_OS_PRO...
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)示什么
06-09
这段文字列出了三种安全漏洞分类: 1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头的 Content-type 字段与响应内容的 MIME 类型不一致而导致的安全漏洞。 3. CAPEC-63: Cross-Site Scripting (XSS),即跨站脚本攻击,指的是攻击者通过在网页注入恶意脚本来窃取用户信息或执行其他恶意操作的攻击方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值