私はアプリケーションでセキュリティスキャンを実行しました。これまでのセキュリティ問題の1つは、「整合性チェックなしのコードのダウンロード」です。このリスクのポイントは、Class.forName("SimpleClass");Class.forName( "SimpleClass")を保護する方法は?
上記のコード行をどのようにして保護しますか? forName("")のパラメータが、私が読み込んでいる悪意のあるクラスでないことを確認するにはどうすればよいですか。
編集:使用されるセキュリティスキャンはCheckmarxです。
信頼できないクラスを含むjarをクラスパスに入れないでください。
メッセージが正しくありません。これで何もダウンロードされません。クラスパスに既に存在していなければならないクラスをロードするだけで、正常にロードされます。
外部からクラスを取得しない場合、this weaknessはここでは適用されません。この場合、既にクラスパス上にある場合は、悪意のあるクラスを読み込むことができます。攻撃者が既にクラスパスにアクセスできることを意味します。この場合、抵抗は無駄です。
外部からクラスを取得したり、どこからでもクラスをダウンロードしたり、ユーザーがクラスやソースコードをアップロードしてコンパイルできるようにすると、この弱点があり、対策を講じる必要があります。ユーザーからクラスを取得した場合、問題が発生します。 :)あなたが安全であると思われる場所からそれらを取得した場合は、HTTPSを使用するか、独自の署名を確認することができます。しかし、私はこれがあなたの場合ではないと思います。
クラスがどこから来ているのか説明してください。攻撃の完全な流れを理解することは、状況をより良く理解して助けてくれるかもしれません。 – yaloner