CWE-494: Download of Code Without Integrity Check
跟上一個Inclusion of Functionality from Untrusted Control Sphere有點類似
從https://cwe.mitre.org/data/definitions/494.html
的說明當中可以看到
這個弱點指的是專案當中用了下載其他外部來源的程式,並直接拿來使用的情況,直接使用外部下載的程式碼,同樣有外部資源已遭到汙染的風險
其中舉的範例如下
URL[] classURLs= new URL[]{
new URL("file:subdir/")
};
URLClassLoader loader = new URLClassLoader(classURLs);
Class loadedClass = Class.forName("loadMe", true, loader);
不過實務上,一般寫網站很少會用到這樣的作法