SV.CLLOADER

このエラーは、プログラムがクラスローダーによってクラスをロードしようとしている場合に表示されます。

脆弱性とリスク

カスタムクラスローダーを使用してクラスを直接ロードする場合、悪意のあるコードのシステムへの侵入を許す可能性があります。

Klocwork セキュリティ脆弱性 (SV) チェッカーは、潜在的に危険なデータを生成する呼び出しを特定します。このような呼び出しは安全でないソースと考えられます。ユーザーは攻撃者になる可能性があり、ヒューマンエラーを取り込む可能性があるため、安全でないソースはユーザーが指定した任意のデータである可能性があります。

軽減と防止

既知の安全なクラスローダーを使用します。

例 1

コピー
    public void loadMyClass(String maliciousClass) {
      ClassLoader cLoader = ClassLoader
          .getSystemClassLoader();
      try {
        cLoader.loadClass(maliciousClass);
      } catch (ClassNotFoundException e) {
        // TODO Auto-generated catch block
        e.printStackTrace();
      }
    }

SV.CLLOADER が 14 行目の呼び出しに対して報告されています。クラスローダーが直接 'loadClass' の呼び出しに使用されています。