 描述
产品比较类的名字,它会导致多个类时使用了错误的类可以有相同的名称。
扩展描述
如果决定信任对象的方法和数据是基于类的名称,它是可能的恶意用户发送相同的名称作为受信任的对象类,从而获得信托提供已知类和类型。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
完整性
保密
可用性
|
如果一个产品仅仅依赖对象的名字来确定身份,它可能执行不正确或意想不到的代码。 |
|
利用的可能性
示范例子
示例1
在这个例子中,if语句的表达比较inputClass对象一个可信的类类通过比较类名。
如果(inputClass.getClass () . getname () .equals (“TrustedClassName”)) {
/ /做一些假设你inputClass信任
/ /……
}
然而,多个类可以有相同的名字因此比较对象的类的名字可以允许不可信的类的名称相同的信任类是使用执行意想不到的或不正确的代码。目的比较对象的类的类getClass()方法和比较运算符“= =”应该被用来确保使用了正确的信任类,如以下示例所示。
如果(inputClass.getClass () = = TrustedClass.class) {
/ /做一些假设你inputClass信任
/ /……
}
示例2
在这个例子中,Java类、TrustedClass覆盖等于父类对象的方法来确定等价类的对象。覆盖=方法首先决定了对象,如果obj,同一类TrustedClass对象,然后将对象的字段来确定对象是等价的。
公开课TrustedClass {
…
@Override 公共布尔=(对象obj) {
布尔isEquals = false;
/ /先看看同一个类的对象
如果(obj.getClass () . getname () .equals (this.getClass () . getname ())) {
/ /然后比较对象字段
… 如果(…){
isEquals = true; }
}
返回isEquals; }
… }
然而,equals方法比较对象的类名,obj, TrustedClass对象确定它们是否相同的类。与前面的示例使用类的名称比较类的对象可能会导致意想不到的或不正确的代码的执行如果对象传递到等于另一个具有相同名称的类的方法。目的比较类的一个对象类,getClass()方法和比较运算符“= =”应该被用来确保使用了正确的信任类,如以下示例所示。
公共布尔=(对象obj) {
…
/ /先看看同一个类的对象
如果(obj.getClass () = = this.getClass ()) {
… }
… }
潜在的缓解措施
实施阶段:
使用等价类来确定类型。而不是使用类名来确定给定类型的对象时,使用getClass()方法,和= =操作符。 |
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 7有害的王国 |
|
|
比较类的名字 |
| 扣 |
|
|
比较类的名字 |
| CERT甲骨文安全Java编码标准(2011) |
OBJ09-J |
|
比较类和类名 |
| 软件故障模式 |
SFP1只能 |
|
在计算故障 |
引用
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
