【腾讯云代码分析】Java强化安全规则包

[cocorunning]

TCA支持针对Java语言中常见的安全漏洞，如XSS跨站脚本攻击漏洞，命令行注入漏洞等进行专项分析。本系列安全规则主要有“致命”和“错误”级别，针对这些安全漏洞，TCA可以准确识别漏洞所在位置并提供修复建议。

支持语言：Java

注：该规则包由TCA独立工具支持，需申请授权免费使用，申请传送门：《CLS使用文档》

启用规则包

分析方案 -> 代码检查 ->【Java】强化安全规则 -> 启用/查看规则

问题示例

SQL注入

使用手册

命令行注入漏洞

当使用 childprocess 等模块执行命令时，拼接了用户可控的输入，会导致命令执行漏洞。攻击者利用漏洞可以控制目标主机或者容器。

void bad(HttpServletRequest req, HttpServletResponse resp){
    String cmd = req.getParameter("cmd");
    Runtime rt = Runtime.getRuntime();
    rt.exec(cmd); // 触发规则
}

修复建议：
需要评估 childprocess 等模块执行命令的使用，应限定或校验命令和参数的内容。

路径穿越漏洞
操作文件时，应该限定文件的路径范围，如果拼接用户输入到文件路径，可能导致路径穿越漏洞。攻击者利用漏洞可以访问到文件系统上的任意文件，这可能导致信息泄漏等问题。

    if (!file.exists()) {
        return Response.status(Status.NOT_FOUND).build();
    }

    return Response.ok().entity(new FileInputStream(file)).build();
}

修复建议：
按业务需求，使用白名单限定后缀范围，校验并限定文件路径范围。

欢迎使用！:tada:

关注我们，持续为您的代码助力！

公众号（腾讯云静态分析）回复「进群」获取官方微信交流群传送门_