Trust Boundary Violation违反信任边界的代码漏洞缺陷

这篇文章主要为大家简单讲解违反信任边界缺陷漏洞的相关介绍。一、什么是违反信任边界?违反信任边界漏洞是指数据从不受信任的一边移到受信任的一边却未经验证。违反信任边界漏洞在CWE中被编号为CWE-501:…

 中科天齐软件安全 18小时前

3,175 0 0

RSA算法未使用最优非对称加密填充漏洞

不夸张地说，只要有计算机网络的地方就有RSA算法，非对称加密算法的特点是加密秘钥和解密秘钥不同，秘钥分为公钥和私钥，用私钥加密的明文，只能用公钥解密，用公钥加密的明文，只能用私钥解密。RSA非对称加密…

 中科天齐软件安全 2天前

4,915 0 0

CSRF漏洞有几种常见类型?

一、什么是CSRF漏洞?CSRF跨站请求伪造，主要表现为：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，例如以你的名义发送邮件或消…

 中科天齐软件安全 5天前

5,174 0 0

密码分组链接模式未使用随机初始化矢量

什么是密码分组链接模式未使用随机初始化矢量?在密码块链接(CBC)模式下不使用随机初始化向量(IV)会导致算法容易受到字典攻击。什么是CBC模式?CBC模式的全称是Cipher Block Chain…

 中科天齐软件安全 6天前

5,382 0 0

NULL Pointer Dereference空指针解引用漏洞

C语言中的指针机制使得它灵活高效，但由于指针操作不当产生的动态内存错误也有很多，比如内存泄漏(Memory Leakage)、内存的重复释放、空指针解引用(NullPointer Dereferenc…

 中科天齐软件安全 7天前

4,740 0 0

使用硬编码的密码漏洞

对于硬编码密码，Immunity公司威胁情报负责人曾表示，这项常见的开发者漏洞不仅广泛存在，而且在短时间内似乎也不太可能被彻底解决。早在2016年Fortinet防火墙发现硬编码后门，尽管该公司否认硬…

 中科天齐软件安全 8天前

6,932 0 0

声明为public static的域没有标记final缺陷简介

在一个类中，非静态成员变量对每一个对象都会有一个特定的值，在初始化非静态变量的时候是不分配内存的，只有创立对象后才会分配，而且不同对象之间的同名非静态变量是可以不同的;当用static修饰变量，一个类…

 中科天齐软件安全 26天前

8,344 0 0

Session Fixation 会话固定漏洞有哪些修补方法？

本期主题为会话固定(CWE-384: Session Fixation)漏洞的相关介绍。一、什么是会话固定?对用户进行身份鉴别并建立一个新的会话时没有让原来的会话失败。二、会话固定漏洞的构成条件有哪些…

 中科天齐软件安全 28天前

8,185 0 0

finalize()方法声明为public缺陷构成条件有哪些?

本文旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。final修饰符(关键字)，若类被声明为final，意味着它不能再派生出新的子类，不能作为父类被继承。因此一个类不能既…

 中科天齐软件安全 2021-12-20 16:27:14

8,169 1 0

依赖referer字段进行身份鉴别漏洞构成条件有哪些?

01 什么是依赖referer字段进行身份鉴别?HTTP请求中的referer字段可以很容易地修改，因此不是身份鉴别检查的有效方法。根据HTTP协议，在HTTP头中有一个字段叫Referer，它记录了…

 中科天齐软件安全 2021-12-10 13:35:10

8,978 0 0

抛出通用异常缺陷

一、什么是抛出通用异常缺陷?抛出过于宽泛的异常会导致复杂的错误处理代码，这些代码很可能包含安全漏洞。声明抛出Exception或Throwable的方法会使调用方难以执行正确的错误处理和错误恢复。例如…

 中科天齐软件安全 2021-12-09 11:48:57

7,701 0 0

通用异常捕获声明缺陷漏洞

一、什么是通用异常捕获声明缺陷?捕获过于广泛的异常会导致复杂的错误处理代码，该代码更可能包含安全漏洞。二、通用异常捕获声明缺陷构成条件有哪些?捕捉异常似乎是处理多个可能异常的有效方法。不幸的是，它会捕…

 中科天齐软件安全 2021-12-08 14:03:57

8,893 0 0

未使用的变量缺陷漏洞

一、什么是未使用的变量缺陷?变量已赋值但从未使用过，这使其成为无意义的变量。二、未使用的变量缺陷构成条件有哪些?当一个局部变量被赋了一个值，而该值没有被任何后续指令使用时，就会出现未使用的变量。三、未…

 中科天齐软件安全 2021-12-07 14:45:12

6,999 0 0

通过错误消息导致的信息暴露

一、什么是通过错误消息导致的信息暴露缺陷?软件会生成一条错误消息，其中包含有关其环境，用户或关联数据的敏感信息。二、通过错误消息导致的信息暴露缺陷构成条件有哪些?敏感信息本身可能是有价值的信息(例如密…

 中科天齐软件安全 2021-12-06 15:13:19

8,567 0 0

HTTPS会话里的敏感Cookie没有设置’Secure’属性

一、什么是HTTPS会话里的敏感Cookie没有设置'Secure'属性缺陷?HTTPS会话里的敏感Cookie没有设置'Secure'属性,这可能导致用户代理通过HT…

 中科天齐软件安全 2021-12-03 16:38:20

9,380 0 0