悟空云課堂丨代碼安全第二十九期：通用異常捕獲聲明缺陷漏洞

中科天齊傾情打造《悟空云課堂》旨在科普軟件安全相關(guān)知識，助力企業(yè)有效防范軟件安全漏洞，提升網(wǎng)絡(luò)安全防護(hù)能力。本期主題為通用異常捕獲聲明缺陷漏洞的相關(guān)介紹。

一、什么是通用異常捕獲聲明缺陷?

捕獲過于廣泛的異常會導(dǎo)致復(fù)雜的錯(cuò)誤處理代碼，該代碼更可能包含安全漏洞。

二、通用異常捕獲聲明缺陷構(gòu)成條件有哪些?

的變量。捕捉異常似乎是處理多個(gè)可能異常的有效方法。不幸的是，它會捕獲所有異常類型，檢查異常和運(yùn)行時(shí)異常，從而造成了捕獲范圍過大。

三、通用異常捕獲聲明缺陷會造成哪些后果?

捕獲范圍過于廣泛的異常實(shí)質(zhì)上會破壞Java類型異常的目的，并且如果程序增長并開始引發(fā)新類型的異常，則變得特別危險(xiǎn)。新的異常類型將不會受到任何關(guān)注。

四、通用異常捕獲聲明缺陷的防范和修補(bǔ)方法有哪些?

明確列出需要捕獲的異常。

五、通用異常捕獲聲明缺陷的信息暴露缺陷樣例：

用靜態(tài)代碼檢測分析上述程序代碼，則可以發(fā)現(xiàn)代碼中存在著“通用異常捕獲聲明” 導(dǎo)致的代碼缺陷，如下圖：

通用異常捕獲聲明缺陷在CWE中被編號為：CWE-396:Declaration of Catch for Generic Exception