1. 什么是Fortify漏洞
- Fortify 是一种静态代码分析工具,可用于识别源代码中的安全漏洞和错误。Fortify 检查程序是否存在潜在的安全漏洞,例如 SQL 注入、跨站点脚本攻击、缓冲区溢出、身份验证问题等。
- Fortify 使用一种名为“规则”的机制来检测这些漏洞。每个规则都是一个静态的模式匹配器,用于识别源代码中的特定模式或结构。当 Fortify 发现与规则匹配的代码时,它将生成一个安全漏洞警报,指出可能存在的风险并提供修复建议。
- Fortify 可以嵌入到软件开发流程中,在代码编写过程中自动检测安全漏洞和错误,从而帮助开发人员及早发现和解决潜在的安全威胁。
2. 漏洞描述
AccessibleObject API 允许程序员绕过由 Java 访问说明符提供的 access control 检查。特别是它让程序员能够允许反映对象绕过 Java access control,并反过来更改私有字段或调用私有方法、行为,这些通常情况下都是不允许的
在面向对象编程中,访问修饰符(如public、private和protected)用于控制类成员的可见性和访问权限。当一个成员被声明为private时,只有在同一类中才能访问它。如果攻击者可以使用某种方式绕过这些访问修饰符的限制,他们可能会获得对私有成员的访问权限,从而导致安全问题。
示例:
Constructor<InnerClassSingleton> constructor =InnerClassSingleton.class.getDeclaredConstructor(); //通过反射 越过构造器私有化 constructor.setAccessible(true);
3. 漏洞原因
constructor.setAccessible(true)
4. 解决方法
修改成:ReflectionUtils.makeAccessible(field) // spring包下的一个工具类
示例:
