Fortofy扫描安全漏洞解决——Null Dereference (Code Quality, Control Flow)空指针

于 2023-12-21 15:31:53 发布
阅读量757 收藏 12
点赞数 7
分类专栏: Fortify代码审计漏洞解决 文章标签: java Fortity 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52536274/article/details/135131166
版权

问题描述:
​      如果不符合程序员的一个或多个假设,则通常会出现 null 指针异常。如果程序明确将对象设置为 null,但稍后却间接引用该指针,则将出现 dereference-after-store 错误。此错误通常是因为程序员在声明变量时将该变量初始化为 null 所致。
      空指针问题是Fortofy安全漏洞中最容易解决的问题,不同的代码触发空指针的方式不同,本篇文章演示几个常见的空指针及解决思路。


问题代码1 对null数据进行操作导致空指针异常:

//查询数据库获取Map类型数据
Map<String, String> ruleMap=new HashMap<>();
Map<String, Object> map =jdbcTemplate.queryForMap(sql, bussId, materials, userId, orgId);
if(!map1.isEmpty()){
    for (Map.Entry<String, Object> obj : map.entrySet()) {
           //这行代码会被扫描出空指针,如果obj的value为空,那么null.toString()就会空指针异常
           ruleMap.put(obj.getKey(),obj.getValue().toString());
       }
}

解决方案:

//查询数据库获取Map类型数据
Map<String, String> ruleMap=new HashMap<>();
Map<String, Object> map =jdbcTemplate.queryForMap(sql, bussId, materials, userId, orgId);
if(!map1.isEmpty()){
    for (Map.Entry<String, Object> obj : map.entrySet()) {
           //提前判断obj的value值是否为空,如果是空则不做toString,直接赋值即可
            String mapValue=obj.getValue()!=null?obj.getValue().toString():null;
           ruleMap.put(obj.getKey(),mapValue);
       }
}

问题代码2 调用空对象中方法触发空指针:

JSONObject obj = null;
StringBuffer objJSON = new StringBuffer("。。。。。。。");
// 转换成JSONObject对象
obj = JSON.parseObject(objJSON.toString());
//obj为null触发空指针
obj.put("sort", sort);

解决方案:增加非空判断

if(obj!=null){
   obj.put("sort", sort);
}

龙城桥少
关注
专栏目录
CWE:通病总结
mzhan017的博客
12-16 4943
文章目录网站398686 网站 https://cwe.mitre.org/data/definitions/686.html 398 风格问题,如果一个局部变量,可以放在一个更小的区域,而且满足使用,最好是将作用域缩小。但是需要注意不要搞错。检查工具有点时候,检查有问题。 [STYLE] (cwe=398, variableScope): The scope of the variable ‘left’ can be reduced., The scope of the variable ‘left’ c
Java代码弱点与修复之——Dereference after null check-空检查后间接引用
oscar999的专栏
03-02 910
Dereference after null check-空检查后间接引用。 在Java语言中,通俗点的说明就是: 对于一个可能为空的变量,前面使用的时候进行了非空判断,后面使用的时候又没有进行非空判断。 是指在复制和粘贴代码时产生的错误。这种错误通常是由于程序员在复制代码时未正确编辑所复制的代码或编辑复制后的代码时忘记更改一些值或参数而导致的。复制粘贴错误可能会导致程序逻辑错误、编译错误或运行时错误。
fortify规则包概述
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2070813
Fortify漏洞之 Privacy Violation(隐私泄露)和 Null Dereference空指针异常)
arkqyo2595的博客
05-14 7134
  继续对Fortify的漏洞进行总结,本篇主要针对Privacy Violation(隐私泄露)和Null Dereference空指针异常)的漏洞进行总结,如下: 1.1、产生原因: Privacy Violation 会在以下情况下发生: 1. 用户私人信息进入了程序。 2. 数据被写到了一个外部介质,例如控制台、file system 或网络。 示例 ...
linux内核漏洞利用初探(2):demo-null_dereference
panhewu9919的博客
09-05 1322
1. NULL Dereference (1)介绍 古老的Linux NULL pointer dereference exploit,映射0地址分配shellcode运行 (2)漏洞代码 #include <linux/init.h> #include <linux/module.h> #include <linux/kernel.h> #include &l...
C语言常见问题(1):Called function pointer is null (null dereference)
Edsam--活到老学到老,掌握核心技术,做好产品服务!
01-04 1160
Called function pointer is null (null dereference)翻译过来就是调用的函数指针为空。 使用Sonar工具检测,在使用这种函数指针的时候没有先判断该函数指针是否为空,存在安全隐患,一旦为空,不就崩溃了嘛! 因此,一种变通的方法就是把这个函数指针的调用封装到一个函数里面去,增加判断是否为空的检测,保障安全。后续将继续举例讲讲常见的问题。 ...
漏洞分析丨HEVD-0x5.NullPointerDereference[win7x86]
m0_64973256的博客
07-15 221
视频制作不易,求三联支持,拜谢~ +公众账号(极安御信安全研究院/北京极安御信安全研究院)报暗号:“资料” 即可领取视频相关工具、源码、学习资料,和其他逆向工程免费课。
Fortify扫描 -- 软件安全错误的分类
weixin_34289454的博客
12-10 4669
软件安全错误分类 Input Validation and Representation: 输入验证和表示 API Abuse: API滥用 Security Features: 安全功能 Time and State: 时间和国家 Errors: 错误 Code Quality: 代码质量 Encapsulation: 封装 1 Input Validation and Represen...
findbugs错误总结
热门推荐
UESTCAA的专栏
03-01 1万+
本篇是从别人那找到的,为了让我回头查看findbugs错误怎么解决而保存的 记得把findbugs尽量清零哦。 1.       NP_NULL_ON_SOME_PATH_EXCEPTION   类型 必改项 描述 A  reference value which is null on some  exception contr
计算机算法常用术语中英对照(分为两部分 其中一部分表格形式 )
weixin_30488085的博客
06-25 4872
第一部分 Data Structures 基本数据结构 Dictionaries 字典 Priority Queues 堆 Graph Data Structures 图 Set Data Structures 集合 Kd-Trees 线段树 Numerical Problems 数值问题 Solving Linear Equations 线性方程组 B...
计算机编程常用词汇
__静禅__
11-14 3047
第一部分、计算机算法常用术语中英对照 Data Structures 基本数据结构  Dictionaries 字典  Priority Queues 堆  Graph Data Structures 图  Set Data Structures 集合  Kd-Trees 线段树  Numerical Problems 数值问题  Solving Linear Equations
静态分析中”Potential null dereference”的处理
qq_16379603的博客
08-26 1192
我们在写一个方法时,如果希望在方法执行出错时,获取一个NSError对象,我们通常会像下面这样来定义我们的方法 1 2 3 4 5 6 7 + (NSString )checkStringLength:(NSString *)str error:(NSError **)error {   if (str.
Java代码弱点与修复之——Explicit null dereferenced(显式空间接引用)
oscar999的专栏
03-07 800
Explicit null dereferenced, 显示空间接引用。是 Coverity 静态代码分析工具检测到的一种中风险缺陷。这种缺陷通常发生在尝试使用空指针引用调用对象上的方法或访问属性时。 Explicit null dereferenced的缺陷可能会导致程序崩溃或产生不可预测的结果。
Fortify代码扫描解决方案
weixin_34072159的博客
08-24 5632
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要时...
Fority 空指针处理
yingzhengttt blog
10-10 287
Null Dereference空指针异常) 原因: 某变量一开始被设置成 null 但后续有调用该变量,导致空指针异常 解决方案: 每次使用该变量时,都需要进行空指针检测,防止出现空指针异常 参考文献: [1]: https://www.cnblogs.com/meInfo/p/9037784.html ...
Fortofy扫描安全漏洞解决——Category: Insecure Randomness
最新发布
weixin_52536274的博客
12-21 392
​ 在对安全性要求较高的环境中,使用一个能产生可预测数值的函数作为随机数据源,会产生 Insecure Randomness 错误。​ 通常情况下,如果并未声明 PRNG 算法带有加密保护,那么它有可能就是一个统计学的 PRNG,不应在对安全性要求较高的环境中使用,其中随着它的使用可能会导致严重的漏洞(如易于猜测的密码、可预测的加密密钥、会话劫持攻击和 DNS 欺骗)。
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 4769
Fortity 安全评测结果及解决方案
Possible null pointer dereference
07-12
针对您提到的可能的空指针解引用问题,我可以给出一些常见的解决方法和建议。请注意,以下建议是一般性的,具体解决方法可能因代码和情况而异,需要根据具体情况进行调整和实施。 1. 检查指针是否为null:在使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龙城桥少

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值