源代码审查范围为:

源代码审查范围为:

行为问题:由于应用程序的意外行为而引发的漏洞。

路径错误:不恰当的处理访问路径而引发的漏洞。

数据处理:处理数据的功能中发现的漏洞。

处理程序错误:应用程序未正确处理运行时出现的错误而引发的漏洞。

不充分的封装:未充分封装关键数据或功能而引发的漏洞。

时间和状态:在多系统、进程、线程并发计算的环境下由于时间和状态管理不恰当而引发的漏洞。

5.1.2审查阶段

按照计划进行代码审查,发现并记录问题。

5.1.2.1.1行为问题

不可控的内存分配

漏洞描述:内存分配的大小受外部控制的输入数据影响,且程序没有指定内存分配大小的上限。漏洞风险:攻击者可以使程序分配大量的内存,程序可能会因为内存资源不足而崩溃。

修复或规避建议:在程序中指定内存分配大小的上限,在分配内存前对要分配的内存大小进行验证,确保要分配的内存大小不超过上限。

示例1:规范用法之一

5.1.2.1.2路径错误

不可信的搜索路径

漏洞描述:程序使用关键资源时没有指定资源的路径,而是依赖操作系统去搜索资源。

漏洞风险:攻击者可以在搜索优先级更高的文件夹中放入相同名称的资源,程序会使用攻击者控制的资源。

修复或规避建议:使用关键资源时指定资源所在的路径。

示例1:规范用法之一

5.1.2.1.3数据处理

相对路径遍历

漏洞描述:路径名受外部控制的输入数据影响,且程序没有使能够解析到目录外位置的字符序列(如"..")失效。

漏洞风险:攻击者可以通过输入能够解析到目录外位置的字符序列来访问限制目录之外的文件或目录。

修复或规避建议:在构建路径名前对输入数据进行验证,确保外部输入仅包含允许的构成路径名的字符。

示例1:规范用法之一

绝对路径遍历

漏洞描述:路径名由外部控制的输入数据决定,且程序没有限制路径名允许访问的目录。

漏洞风险:攻击者可以通过输人路径名来访问任意的文件或目录。

修复或规避建议:在程序中指定允许访问的文件或目录,在访问文件或目录前对路径名进行验证,确保仅允许访问指定的文件或目录。

示例2:规范用法之一

5.1.2.1.4处理程序错误

未限制危险类型文件的上传

漏洞描述:软件没有限制允许用户上传的文件的类型。

漏洞风险:攻击者可上传具有危险类型的文件,这些文件可能在产品的环境中自动被处理。

修复或规避建议:限制允许用户上传的文件的类型。

示例1:规范用法之一

5.1.2.1.5不充分的封装

违反信任边界

漏洞描述:让数据从不受信任的一边移到受信任的一边却未经验证。

漏洞风险:程序员更容易错误地相信那些未被验证的数据,导致未经验证的数据被攻击者利用。信任边界可以被认为是画在程序中的一条线。线的一侧是不受信任数据:另一侧

相关推荐
Python私教4 小时前
C 语言运算符全景:从入门到进阶
c语言·开发语言·网络
运维李哥不背锅6 小时前
Ansible 模块详解:高效管理你的 IT 基础设施
服务器·网络·ansible
せいしゅん青春之我7 小时前
【JavaEE初阶】网络原理——TCP报文结构、确认应答机制
网络·笔记·网络协议·tcp/ip·java-ee
☆璇8 小时前
【Linux】数据链路层
linux·服务器·网络
电鱼智能的电小鱼10 小时前
基于电鱼 ARM 工控机的AI视频智能分析方案:让传统监控变得更聪明
网络·arm开发·人工智能·嵌入式硬件·算法·音视频
2501_9159090610 小时前
网络调试工具推荐 Fiddler抓包工具使用教程与代理设置详解(HTTP/HTTPS配置与实战技巧)
网络·http·ios·小程序·fiddler·uni-app·webview
芙蓉王真的好111 小时前
初阶吃透:HTTP 请求行的格式(Method + URL + Version)详解
网络·网络协议·http
小武~11 小时前
嵌入式网络编程深度探索:无线网络驱动开发实战指南
网络·驱动开发
jieyu111911 小时前
Python 实战:Web 漏洞 Python POC 代码及原理详解(2)
python·web安全
cmc102813 小时前
144.新工程导入原来工程的bd.tcl时原工程带有第三方自定义ip报错解决办法
服务器·网络·tcp/ip