SV.CLLOADER
程序尝试通过类加载器加载类时会出现此错误。
漏洞与风险
直接使用自定义类加载器加载类可能使恶意代码进入系统。
Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用;这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源,因为用户可能是攻击者,或者可能引入人为错误。
缓解与预防
使用已知的安全类加载器。
示例 1
复制
public void loadMyClass(String maliciousClass) {
ClassLoader cLoader = ClassLoader
.getSystemClassLoader();
try {
cLoader.loadClass(maliciousClass);
} catch (ClassNotFoundException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
针对第 14 行的调用报告 SV.CLLOADER:类加载器直接由“loadClass”使用