常见的弱点枚举

该清单显示了给定的弱点可以可能的地区出现。这些可能是为特定命名的语言,操作系统,架构、模式、技术、或一个类这样的平台。列出的平台是随着频率的出现疲态实例。

语言

示例1

下面的代码定义一个名为Echo的类。类声明一个本地方法(下面定义),它使用C echo命令进入控制台返回给用户。下面的C代码定义了回声的本机方法实现类:

因为Java实现的例子是,它可能会出现免疫记忆缓冲区溢出漏洞等问题。尽管Java做一份好工作的内存操作安全,这种保护并不延伸到漏洞发生在其他语言编写的源代码,使用Java本地接口访问。尽管内存保护提供Java, C代码在这个例子很容易受到缓冲区溢出,因为它利用了(),不检查其输入的长度。

Sun Java (TM)教程提供了以下描述的JNI(见参考):JNI框架允许您的本机方法使用Java对象在Java代码相同的方式使用这些对象。本机方法可以创建Java对象,包括数组和字符串,然后检查和使用这些对象执行它的任务。一个本地方法还可以检查和使用Java应用程序代码创建的对象。一个本地方法甚至可以更新的Java对象,它创建或传递给它,而这些更新对象是可用的Java应用程序。因此,母语的一面和Java的应用程序可以创建、更新和访问Java对象,然后在他们之间共享这些对象。

脆弱性在上面的例子中可以很容易地通过一个源代码审计发现的本机方法实现。这可能不是实际或可能根据C源代码的可用性和项目建造的方式,但在许多情况下,它可能足够了。然而,Java和本地方法之间共享对象的能力扩张的潜在风险更阴险的情况下用Java数据处理不当可能会导致意想不到的漏洞在本机代码或不安全的操作本机代码在Java中腐败的数据结构。漏洞在本机代码通过一个Java应用程序访问通常利用在同样的方式在当地语言编写的应用程序。唯一挑战这样的攻击是攻击者识别,Java应用程序使用本机代码以执行特定的操作。这可以以多种方式完成,包括确定具体行为往往是实现与本机代码或利用系统信息曝光的Java应用程序,揭示其使用JNI(见参考)。