【腾讯云代码分析】Java强化安全规则包 #637
cocorunning
announced in
Announcements
Replies: 0 comments
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
-
TCA支持针对Java语言中常见的安全漏洞,如XSS跨站脚本攻击漏洞,命令行注入漏洞等进行专项分析。本系列安全规则主要有“致命”和“错误”级别,针对这些安全漏洞,TCA可以准确识别漏洞所在位置并提供修复建议。
支持语言:Java
注:该规则包由TCA独立工具支持,需申请授权免费使用,申请传送门:《CLS使用文档》
启用规则包
分析方案 -> 代码检查 ->【Java】强化安全规则 -> 启用/查看规则
问题示例
SQL注入
使用手册
命令行注入漏洞
当使用 childprocess 等模块执行命令时,拼接了用户可控的输入,会导致命令执行漏洞。攻击者利用漏洞可以控制目标主机或者容器。
修复建议:
需要评估 childprocess 等模块执行命令的使用,应限定或校验命令和参数的内容。
路径穿越漏洞
操作文件时,应该限定文件的路径范围,如果拼接用户输入到文件路径,可能导致路径穿越漏洞。攻击者利用漏洞可以访问到文件系统上的任意文件,这可能导致信息泄漏等问题。
修复建议:
按业务需求,使用白名单限定后缀范围,校验并限定文件路径范围。
欢迎使用!:tada:
关注我们,持续为您的代码助力!
公众号(腾讯云静态分析)回复「进群」获取官方微信交流群传送门_
Beta Was this translation helpful? Give feedback.
All reactions