请选择 进入手机版 | 继续访问电脑版
点击联系客服
客服QQ: 客服微信:
查看: 106|回复: 50

可达到的assertion漏洞的结果是什么?

[复制链接]

1

主题

1

帖子

-7

积分

限制会员

积分
-7
发表于 2021-9-30 18:08:51 | 显示全部楼层 |阅读模式
本文主要是对50号:可达到的assertion的介绍,旨在帮助企业有效防止软件安全漏洞,提高网络安全保护能力。

什么是可以到达01的assertion?

程序包含攻击者可以触发的assert()或类似的语句,可能会导致应用程序终止或发生其他不必要的严重行为。

Assertion(断言)是软件开发中常用的调试方式,很多开发语言都支持。在实现中,assertion可以用程序的语句检查布尔表达式,正确的程序必须确认此布尔表达式的值为true。如果此值为false,则在程序已处于错误状态时显示警告或退出。

通常,assertion用于确保程序的最基本和最重要的准确性。Assertion检查通常在开发和测试时开始,为了提高性能,软件发布后,assertion检查通常会关闭。为了从语法上支持assertion,Java添加了关键字assert。

02可达到的assertion漏洞的配置条件是什么?
space: normal; background-color: rgb(255, 255, 255);">
当断言用于公共方法中的参数检查时,就可能会出现“可达的assertion”安全漏洞。


03 可达的assertion漏洞会造成哪些后果?


当断言禁用时,参数的验证将失效,可能导致非预期的结果。

虽然断言有助于捕获逻辑错误并减少出现更严重的漏洞的机会,但它仍然可能导致拒绝服务。例如,如果一个服务器处理多个并发连接,并且在一个连接中出现assert(),导致所有其他连接被丢弃,这是一个可到达的断言,将导致拒绝服务。


04 可达的assertion漏洞的防范和修补方法有哪些?


断言不应该用于公共方法中的参数检查。参数检查通常是方法的一部分,无论断言是启用还是禁用,都必须遵守此规则。

05 可达的assertion漏洞样例

public class case1_bad {

public static void main(String[] args) {

System.out.println(fun());

boolean flag=1>2;

assert true;

}

public static int getAbsAdd(int x, int y) {

assert x != Integer.MIN_VALUE;

assert y != Integer.MAX_VALUE;

nt absX = Math.abs(x);

int absY = Math.abs(y);

assert (absX

return absX + absY;

}

public static int fun() {

boolean flag = 3 > 2;

assert flag;

return 1;

}

}

使用悟空代码安全检测工具检测上述程序代码,则可以发现代码中存在着“可达的assertion”的安全漏洞。请见下图:






在(case1_bad.java)文件第(12、13、16)行使用断言验证方法参数,当断言被禁用时,验证代码不会执行,参数检查通常是方法的一部分,无论断言是启用还是禁用,都必须维护此合约。

可达的assertion在CWE中被编号为CWE-617: Reachable Assertion
回复

使用道具 举报

0

主题

393

帖子

-160

积分

限制会员

积分
-160
发表于 2021-9-30 18:08:56 | 显示全部楼层
难得一见的好帖
回复

使用道具 举报

1

主题

369

帖子

-141

积分

限制会员

积分
-141
发表于 2021-9-30 18:30:03 | 显示全部楼层
前排支持下分享
回复

使用道具 举报

1

主题

408

帖子

-165

积分

限制会员

积分
-165
发表于 2021-9-30 18:55:41 | 显示全部楼层
过来看看的
回复

使用道具 举报

0

主题

343

帖子

-110

积分

限制会员

积分
-110
发表于 2021-9-30 19:15:57 | 显示全部楼层
前排支持下分享
回复

使用道具 举报

1

主题

388

帖子

-142

积分

限制会员

积分
-142
发表于 2021-9-30 19:36:04 | 显示全部楼层
前排支持下分享
回复

使用道具 举报

1

主题

379

帖子

-181

积分

限制会员

积分
-181
发表于 2021-9-30 19:57:19 | 显示全部楼层
不错不错,很好哦
回复

使用道具 举报

0

主题

356

帖子

-126

积分

限制会员

积分
-126
发表于 2021-9-30 20:20:18 | 显示全部楼层
好好 学习了 确实不错
回复

使用道具 举报

1

主题

359

帖子

-152

积分

限制会员

积分
-152
发表于 2021-9-30 20:47:49 | 显示全部楼层
路过,支持一下啦
回复

使用道具 举报

0

主题

367

帖子

-146

积分

限制会员

积分
-146
发表于 2021-9-30 21:11:33 | 显示全部楼层
好帖,来顶下
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图版|手机版|小黑屋|汕头@IT精英团

Powered by Discuz! X3.4 © 2021 Comsenz Inc.

GMT+8, 2021-10-25 04:04 , Processed in 0.343201 second(s), 19 queries .

快速回复 返回顶部 返回列表