解决Fortify漏洞:Access Specifier Manipulation

简介: 解决Fortify漏洞:Access Specifier Manipulation

1. 什么是Fortify漏洞

  • Fortify 是一种静态代码分析工具,可用于识别源代码中的安全漏洞和错误。Fortify 检查程序是否存在潜在的安全漏洞,例如 SQL 注入、跨站点脚本攻击、缓冲区溢出、身份验证问题等。
  • Fortify 使用一种名为“规则”的机制来检测这些漏洞。每个规则都是一个静态的模式匹配器,用于识别源代码中的特定模式或结构。当 Fortify 发现与规则匹配的代码时,它将生成一个安全漏洞警报,指出可能存在的风险并提供修复建议。
  • Fortify 可以嵌入到软件开发流程中,在代码编写过程中自动检测安全漏洞和错误,从而帮助开发人员及早发现和解决潜在的安全威胁。

2. 漏洞描述

 AccessibleObject API 允许程序员绕过由 Java 访问说明符提供的 access control 检查。特别是它让程序员能够允许反映对象绕过 Java access control,并反过来更改私有字段或调用私有方法、行为,这些通常情况下都是不允许的

在面向对象编程中,访问修饰符(如public、private和protected)用于控制类成员的可见性和访问权限。当一个成员被声明为private时,只有在同一类中才能访问它。如果攻击者可以使用某种方式绕过这些访问修饰符的限制,他们可能会获得对私有成员的访问权限,从而导致安全问题。

例:

 Constructor<InnerClassSingleton> constructor =InnerClassSingleton.class.getDeclaredConstructor();                         
        //通过反射   越过构造器私有化
        constructor.setAccessible(true);

3. 漏洞原因

constructor.setAccessible(true)

4. 解决方法

修改成:ReflectionUtils.makeAccessible(field) // spring包下的一个工具类

示例:

f7e12ed15bb84e24b729fdf40a5fb101.png

目录
相关文章
|
5月前
|
SQL 存储 安全
Vulnerability
【7月更文挑战第2天】
73 1
|
Web App开发
【VCS】Unified Simulation Profiler使用
【VCS】Unified Simulation Profiler使用
459 0
【VCS】Unified Simulation Profiler使用
|
安全 MySQL 关系型数据库
Multiple Vulnerabilities in Scrutinizer NetFlow &amp; sFlow Analyzer
Trustwave SpiderLabs Security Advisory TWSL2012-014: Multiple Vulnerabilities in Scrutinizer ...
1115 1
|
Python
You should rebuild using libgmp >= 5 to avoid timing attack vulnerability.", PowmInsecureWarning
su -s /bin/sh -c "glance-manage db_sync" glance/usr/lib64/python2.6/site-packages/Crypto/Util/number.
1163 0
fortify vulncat
http://www.hpenterprisesecurity.com/vulncat/zh_CN/vulncat/index.
841 0
|
SQL Go 关系型数据库
Multiple vulnerabilities in Cacti 0.8.8b and lower
The following are XSS and SQL Injection vulnerabilities I've found in the latest version of Cacti (0.
905 0
|
SQL 安全 PHP
[waraxe-2013-SA#103] - Multiple Vulnerabilities in phpMyAdmin
Author: Janek Vind "waraxe"Date: 25. April 2013Location: Estonia, TartuWeb: http://www.
718 0