![c945881cdfb47ae77a6e52a1a9a3ce27.png](https://img-blog.csdnimg.cn/img_convert/c945881cdfb47ae77a6e52a1a9a3ce27.png)
Spring Boot是由Pivotal团队提供的全新的开源框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。
现在很多研发团队开始转向采用该框架,但是这个框架经过使用北大软件的CoBOT进行分析,发现里面还是隐藏着很多缺陷和安全漏洞。我选择了几个比较典型的,容易理解的缺陷进行简单分析。
1、创建问题权限问题
![8959857d3c67d5959fb22ac1c8b44fee.png](https://img-blog.csdnimg.cn/img_convert/8959857d3c67d5959fb22ac1c8b44fee.png)
上述存在的问题所属的缺陷属于没有使用合适的访问权限创建文件。缺陷发生位置:
在RepackagerTests.java中jarThatUsesCustomCompressionConfigurationCanBeRepackaged函数的第646行。在(RepackagerTests.java)文件第(646)行调用方法[new FileOutputStream(source)]创建文件,没有指定访问权限,攻击者可能会在程序修改权限之前读取或修改文件。必须使用访问