SV.CLASSLOADER.INJ

使用 ClassLoader 可能访问来自不受信任来源的内容

当使用来自不受信任来源的 URL 创建 ClassLoader 类时，将报告此错误。

漏洞与风险

ClassLoader 对象允许在运行时引用和加载可执行数据。如果攻击者可注入替代的 URL 位置，则不受信任的代码可能会执行并访问正在运行的 JVM 或本地资源。

缓解与预防

不引用来自不受信任来源的 URL 实例化或更新 ClassLoader 对象可防止此问题。

漏洞代码示例 1

ClassLoader 正在使用不受信任的 URL 数据进行实例化。任何调用此 ClassLoader 来加载类数据都被视为存在威胁。

1
2
3
4
5
6
7
8
9
   public void createContent(final ServletRequest req)
       throws MalformedURLException {
   
       // Set up external reference to site
       final String urlString = req.getParameter("url.data");
       final URL url = new URL(urlString);
       final URLClassLoader loader = new URLClassLoader({url});
       ...
   }

修正代码示例 1

URL 现在采用硬编码，系统可验证内容是否可信。

1
2
3
4
5
6
7
8
   public void testExternalReference()
       throws MalformedURLException {
   
       // Set up external reference to known site
       final String urlString = “http://verified.content.com/example.jar”;
       final URL url = new URL(urlString);
       final URLClassLoader loader = new URLClassLoader({url});
   }

相关检查器

• SV.CLASSDEF.INJ
• SV.SCRIPT

外部指导

• CERT SEC03-J：允许不受信任的代码加载任意类后不加载受信任的类
• CWE-829：包含来自不受信任的控制域的功能
• OWASP A8:2021 软件和数据完整性故障

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。

• 使用来自不受信任来源的组件培训视频 - 用培训示例来检验您的技能