CWE-496: Public Data Assigned to Private Array-Typed Field(将公有数据赋值给私有数组)

最新推荐文章于 2021-02-19 04:38:21 发布
最新推荐文章于 2021-02-19 04:38:21 发布
阅读量641 收藏
点赞数
分类专栏: 漏洞检查 文章标签: 共有数据暴露 弱点扫描 静态分析 漏洞检查 安全漏洞

 ID: 496

类型:变量
结构:简单

状态:未完成

描述

将公有数据赋值给私有数组相当于可以公开访问这个数组。

相关视图

与“研究层面”视图(CWE-1000)相关

与“开发层面”视图(CWE-699)相关

引入模式

阶段

说明

实现

 

应用平台

语言

C (出现的可能性不确定)

C++ (出现的可能性不确定)

Java (出现的可能性不确定)

C# (出现的可能性不确定)

后果

范围

冲击

可能性

完整性

技术冲击: 修改应用数据

数组内容可能在预计的范围之外被修改。

 

示例

例1

在下面的示例中,SETROLSER()方法将一个公开可控的数组分配给一个私有字段,从而允许调用方直接通过Java中的数组是可变的来修改私有数组。

(问题代码)

Example Language: Java 

private String[] userRoles;
public void setUserRoles(String[] userRoles) {

this.userRoles = userRoles;

}

应对措施

阶段: 实现

不要允许对象修改类的私有成员。

种属

关系

类型

ID

名称

属于

485

7PK - Encapsulation

属于

884

CWE Cross-section

属于

994

SFP Secondary Cluster: Tainted Input to Variable

plstudio1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过公共函数为私有成员赋值
u012369153的专栏
09-03 1015
#include using namespace std; class Test { private: int x; int y; public : void setX(int a); void setY(int b); void display(); }; void Test::setX(int a) {
CWE-234: Failure to Handle Missing Parameter
thesum的专栏
06-25 363
http://cwe.mitre.org/data/definitions/234.html Example 1 (Bad Code) Example Languages: C and C++  foo_funct(one, two);... void foo_funct(int one, int two, int three) { p
CWE-188: Reliance on Data/Memory Layout(数据依赖/内存布局)
plstudio1的博客
04-04 298
ID: 188 类型:基础 结构:简单 状态:草稿 描述 软件对协议数据或内存在较低级别的组织方式进行了无效的假设,从而导致意外的程序行为 扩展描述 当更改平台或协议版本时,内存中的数据组织可能会以意外的方式更改。例如,有些体系结构可以将局部变量a和b放在一起,a放在上面;有些体系结构可以将局部变量a和b放在一起,b放在上面;另一些体...
java 数组实现_JAVA数据结构--Array数组实现
weixin_30768925的博客
02-12 189
所谓数组,是有序的元素序列。[1]若将有限个类型相同的变量的集合命名,那么这个名称为数组名。组成数组的各个变量称为数组的分量,也称为数组的元素,有时也称为下标变量。用于区分数组的各个元素的数字编号称为下标。数组是在程序设计中,为了处理方便, 把具有相同类型的若干元素按无序的形式组织起来的一种形式。[1]这些无序排列的同类数据元素的集合称为数组。平常使用Java中的数组数组是最基础的一种数...
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...]码头工人从Docker Hub提取图像docker pull lirantal/cwe-tooldocker...
check-cve-2019-19781:测试主机对CVE-2019-19781的敏感性
03-08
check-cve-2019-19781 :magnifying_glass_tilted_right: :lady_beetle: 该实用程序确定主机是否似乎容易受到。 要求 Python 3.6及更高版本。 请注意,不支持Python 2。 安装 从发行版: ... 来自来源: ...
CWE-checker分析.pptx
最新发布
10-24
6. CWE-243:在不更改工作目录的情况下创建chroot监狱 7. CWE-332:PRNG中熵不足 8. CWE-367:时检时间使用(TOCTOU)竞争条件 9. CWE-416:在释放后使用 10. CWE-415:双重释放 11. CWE-426:不受信任的搜索路径 12...
yarn-audit-html:生成用于纱线审核HTML报告
05-10
默认情况下,将生成唯一漏洞列表(按MODULE_NAME , VERSION和CWE分组)。 如果要一一显示全部内容,请添加--no-unique选项: yarn audit --json | yarn-audit-html --no-unique 您还可以通过提供--template选项...
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
CWE-495: Private Data Structure Returned From A Public Method(公有方法返回私有数据结构)
plstudio1的博客
05-14 548
ID: 495 类型:变量 结构:简单 状态:草稿 描述 一个声明为public的方法,返回对私有数据结构的引用,然后可以以意外的方式修改该私有数据结构。 相关视图 与“研究层面”视图(CWE-1000)相关 与“开发层面”视图(CWE-699)相关 引入模式 阶段 说明 实现 ...
java实用方法系列 方法返回数组的表示形式(这个技巧有点不实用)
weixin_36210698的博客
06-29 476
前言我们都知道在Java中数组的表示方式变量有两种表示数组的方式 private int[] arr; private int arr[];方法返回数组时的表示方法public static int[] method(){ }方法返回数组的另一种表示形式这种表示形式是在ByteArrayOutputStream类中看到,以前不知道有这种表示形式,在此记录一下public synchronized b
给字符数组赋值的方法
热门推荐
陶野的窝
08-27 21万+
main() { char s[30]; strcpy(s, "Good News!"); /*给数组赋字符串*/ . . . } 上面程序在编译时, 遇到char s[30]这条语句时, 编译程序会在内存的某处留 出连续30个字节的区域, 并将第一个字节的地址赋给s。当遇到strcpy( strcpy 为 Turbo C2.0的函数)时, 首先在目标文件的某处建立一个"Good News!/0"
java方法实现数组返回
Modeala的专栏
12-21 3215
见代码: /* * To change this template, choose Tools | Templates * and open the template in the editor. */ package returnshuzu; import java.math.*; import java.util.Random; public class Test { publi
java反射私有构造_Java反射,获取类的公有私有的构造函数(有参,无参)、方法(有参,无参)、属性...
weixin_36276256的博客
02-19 309
Class类与java.lang.reflect类库一起对反射进行了支持,该类库包含Field、Method和Constructor类,这些类的对象由JVM在启动时创建,用以表示未知类里对应的成员。这样的话就可以使用Contructor创建新的对象,用get()和set()方法获取和修改类中与Field对象关联的字段,用invoke()方法调用与Method对象关联的方法。另外,还可以调用getF...
黑马程序员匠心之作|C++教程从0到1入门编程--数组 函数 指针练习
weixin_43195445的博客
10-19 257
代码功能封装一个函数,利用冒泡排序,实现对整型数组的升序排序 #include using namespace std; //冒泡排序函数 //参数一数组首地址,参数二数组长度 void bubblesort(int * arr, int len) { for (int i = 0; i < len - 1; i++) { for (int j = 0; j < len -i- 1; j++) { //如果j>j+1的值,交换数值 if (arr[j] > arr[j + 1]) {
private,public返回值类型
ztao2333的博客
01-18 452
 private PolicyDS policyDS; private string getString(){     return "helloworld"; } 这里的string和PolicyDS一样都是返回值类型。
Fortify扫描 -- 软件安全错误的分类
weixin_34289454的博客
12-10 4643
软件安全错误分类 Input Validation and Representation: 输入验证和表示 API Abuse: API滥用 Security Features: 安全功能 Time and State: 时间和国家 Errors: 错误 Code Quality: 代码质量 Encapsulation: 封装 1 Input Validation and Represen...
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值