You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
reacted with thumbs up emoji reacted with thumbs down emoji reacted with laugh emoji reacted with hooray emoji reacted with confused emoji reacted with heart emoji reacted with rocket emoji reacted with eyes emoji
-
TCA支持针对Java语言中常见的安全漏洞,如XSS跨站脚本攻击漏洞,命令行注入漏洞等进行专项分析。本系列安全规则主要有“致命”和“错误”级别,针对这些安全漏洞,TCA可以准确识别漏洞所在位置并提供修复建议。
支持语言:Java
注:该规则包由TCA独立工具支持,需申请授权免费使用,申请传送门:《CLS使用文档》
启用规则包
分析方案 -> 代码检查 ->【Java】强化安全规则 -> 启用/查看规则
问题示例
SQL注入
使用手册
命令行注入漏洞
当使用 childprocess 等模块执行命令时,拼接了用户可控的输入,会导致命令执行漏洞。攻击者利用漏洞可以控制目标主机或者容器。
修复建议:
需要评估 childprocess 等模块执行命令的使用,应限定或校验命令和参数的内容。
路径穿越漏洞
操作文件时,应该限定文件的路径范围,如果拼接用户输入到文件路径,可能导致路径穿越漏洞。攻击者利用漏洞可以访问到文件系统上的任意文件,这可能导致信息泄漏等问题。
修复建议:
按业务需求,使用白名单限定后缀范围,校验并限定文件路径范围。
欢迎使用!:tada:
关注我们,持续为您的代码助力!
公众号(腾讯云静态分析)回复「进群」获取官方微信交流群传送门_
Beta Was this translation helpful? Give feedback.
All reactions