1. 极安网首页
  2. 网络安全新闻

从finally块中return漏洞

本期主题为从finally块中return漏洞的相关介绍。



一、什么是从finally块中return?

Java中的finally一般与try一起使用,在程序进入try块之后,无论程序是因为异常而中止或其它方式返回终止的,finally块的内容一定会被执行。

代码在finally块中有一个return语句,这将导致try块中的任何抛出异常被丢弃。



二、从finally块中return漏洞构成条件有哪些?

满足以下条件,就构成了一个该类型的安全漏洞:

1、代码在finally块中有一个return语句。try块中的异常因finally块中的return无法到达exit块被抛出。



三、从finally块中return漏洞会造成哪些后果?

关键词:改变执行逻辑;

本该抛出的异常或其它处理由于finally块中的return先行执行而被丢弃,所以导致上层程序无法执行对应的代码,产生问题。



四、从finally块中return漏洞的防范和修补方法有哪些?

不要在finally块中使用return语句。finally块应该有“cleanup”代码。



五、从finally块中return漏洞样例:

 


悟空
静态代码检测分析上述程序代码,则可以发现代码中存在着“从finally块中return非正常退出” 导致的代码缺陷,如下图:

 

从finally块中return在CWE中被编号为CWE-584: Return Inside Finally Block

文章来源于互联网:从finally块中return漏洞

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/6553.html