0
我對我們的應用程序進行了安全掃描,並提出了其中一個安全問題,即「沒有完整性檢查的代碼下載」。在Class.forName("SimpleClass");如何保護Class.forName(「SimpleClass」)?
行的這一風險點我怎麼保證上面的代碼行? 如何確保forName("")的參數不是我要加載的惡意類。
編輯:安全掃描使用的是Checkmarx。
A
回答
-1
不要把含在你的classpath不可信類的jar包。
該消息是不正確的。這不會下載任何東西。它只會加載一個必須已經存在於你的類路徑中的類才能成功加載。
1
如果你沒有得到來自外部的類,this weakness在這裏並不適用。在這種情況下,您可以加載惡意類,如果它已經在類路徑中。這意味着攻擊者已經可以訪問類路徑 - 在這種情況下,阻力是徒勞的。
如果你從外面獲取類 - 樣,從什麼地方下載它們或允許用戶上傳類或源代碼和編譯它 - 那麼你受這個弱點和需要採取的措施。如果你從用戶那裏獲得課程,你會遇到問題。 :)如果你從某個位置獲得他們看起來很安全,則可以使用HTTPS或自己檢查簽名。但我想這不是你的情況。
相關問題
- 1. Class.forName()如何工作?
- 2. 如何保護API
- 3. 如何保護JsonResult?
- 4. 如何保護熵?
- 5. 如何保護connectionString
- 6. 如何保護Membase?
- 7. 如何保護Cookie?
- 8. 如何保護json
- 9. 如何保護localStorage?
- 10. 如何保護Elasticsearch
- 11. 如何保護WebFonts
- 12. 如何保護database.yml?
- 13. 如何繞過Class.forName()方法
- 14. JDBC連接 - Class.forName與Class.forName()。newInstance?
- 15. 如何保護文件
- 16. 如何保護SonarQube 5.2?
- 17. CSRF保護如何工作?
- 18. 如何保護上的Symfony2
- 19. PDF保護如何工作?
- 20. 如何保護Kryonet(SSLSocketChannel)
- 21. 如何保護webhook身份
- 22. 如何保護wcf服務
- 23. keytool如何保護密鑰?
- 24. 我該如何保護hbase?
- 25. 如何保護代碼?
- 26. 如何保護OData服務?
- 27. swift3 - 如何保護密鑰
- 28. Angular2如何保護內容
- 29. 如何保護writeprocessmemory進程?
- 30. 如何保護inputfield用PHP
請描述課程來自何處。瞭解攻擊的全部流程可能會幫助我們更好地瞭解情況併爲您提供幫助。 – yaloner