Unsafe Mobile Code: Access Violation

ABSTRACT

該程序違反了移動代碼的安全編碼原則，它從 public 訪問方法中返回了一個 private 數組變量。

EXPLANATION

程序可以從 public 訪問方法中返回一個 private 數組變量，通過此種方式，您可以調用代碼來修改該數組的內容，還可以輕易地獲取數組的 public 訪問，并阻止程序員將其設置為 private 的計劃。

例 1：以下 Java Applet 代碼錯誤地從 public 訪問方法中返回了一個 private 數組變量。


public final class urlTool extends Applet {
private URL[] urls;
public URL[] getURLs() {
	return urls;
}
	...
}

移動代碼，在本例中也就是 Java Applet，通過網絡進行傳遞并在遠程機器上運行。因為移動代碼的編寫者很難控制其所編寫代碼的運行環境，所以在安全上提出特別的要求理所當然。一個最大的環境威脅在于，移動代碼可以伴隨其他潛在的惡意移動代碼一起運行。因為所有的主流 web 瀏覽器會在同一 JVM 中執行來自多個來源的代碼，所以，許多移動代碼的安全指導原則都很關注可以訪問到運行著您程序的同一虛擬機的攻擊者，避免他們操縱您的對象的狀態和行為。

REFERENCES

[1] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 495

[2] G. McGraw Securing Java.Chapter 7:Java Security Guidelines

Copyright 2013 Fortify Software - All rights reserved.
(Generated from version 2013.1.1.0008 of the Fortify Secure Coding Rulepacks)
desc.structural.java.unsafe_mobile_code_access_violation

亚洲欧美在线