SV.CLEXT.CLLOADER

SV.CLEXT.CLLOADER 会在类扩展 java.lang.ClassLoader 时出现。错误并不适用于接口。

漏洞与风险

允许实施 ClassLoader 可能导致违反安全性和/或权限。

Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用；这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源，因为用户可能是攻击者，或者可能引入人为错误。

缓解与预防

请勿扩展 ClassLoader。如果必须扩展 ClassLoader，则使用 SecureClassLoader 更佳。

示例 1

8
9
  public class SV_CLEXT_CLLOADER_Sample_1 extends ClassLoader {
  }

针对第 8 行的类声明报告 SV.CLEXT.CLLOADER：类 com.klocwork.jdefects.checkers.ast.samples.SV_CLEXT_CLLOADER_Sample_1 扩展了 java.lang.ClassLoader。

外部指导

• CERT SEC03-J：允许不受信任的代码加载任意类后不加载受信任的类