iT邦幫忙

2024 iThome 鐵人賽
DAY 23
0
Security

WEB仔也要懂資安嗎系列 第 23

23/Software and Data Integrity Failures-Download of Code Without Integrity Check

16th鐵人賽
150 瀏覽

  • 分享至 

  • xImage
    •  

CWE-494: Download of Code Without Integrity Check
跟上一個Inclusion of Functionality from Untrusted Control Sphere有點類似

從https://cwe.mitre.org/data/definitions/494.html
的說明當中可以看到
這個弱點指的是專案當中用了下載其他外部來源的程式,並直接拿來使用的情況,直接使用外部下載的程式碼,同樣有外部資源已遭到汙染的風險

其中舉的範例如下

URL[] classURLs= new URL[]{
new URL("file:subdir/")
};
URLClassLoader loader = new URLClassLoader(classURLs);
Class loadedClass = Class.forName("loadMe", true, loader);

不過實務上,一般寫網站很少會用到這樣的作法


上一篇
22/Software and Data Integrity Failures-Inclusion of Functionality from Untrusted Control Sphere
下一篇
24/Software and Data Integrity Failures-Deserialization of Untrusted Data
系列文
WEB仔也要懂資安嗎30
  1. 26
    26/Security Logging and Monitoring Failures-Omission of Security-relevant Information
  2. 27
    27/Security Logging and Monitoring Failures-Insertion of Sensitive Information into Log File
  3. 28
    28/Security Logging and Monitoring Failures-Insufficient Logging
  4. 29
    29/Insertion of Sensitive Information Into Sent Data
  5. 30
    30/Security Header
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22200
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙