iT邦幫忙

2024 iThome 鐵人賽

DAY 23
0
Security

WEB仔也要懂資安嗎系列 第 23

23/Software and Data Integrity Failures-Download of Code Without Integrity Check

  • 分享至 

  • xImage
  •  

CWE-494: Download of Code Without Integrity Check
跟上一個Inclusion of Functionality from Untrusted Control Sphere有點類似

從https://cwe.mitre.org/data/definitions/494.html
的說明當中可以看到
這個弱點指的是專案當中用了下載其他外部來源的程式,並直接拿來使用的情況,直接使用外部下載的程式碼,同樣有外部資源已遭到汙染的風險

其中舉的範例如下

URL[] classURLs= new URL[]{
new URL("file:subdir/")
};
URLClassLoader loader = new URLClassLoader(classURLs);
Class loadedClass = Class.forName("loadMe", true, loader);

不過實務上,一般寫網站很少會用到這樣的作法


上一篇
22/Software and Data Integrity Failures-Inclusion of Functionality from Untrusted Control Sphere
下一篇
24/Software and Data Integrity Failures-Deserialization of Untrusted Data
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言