本文主要是介绍【悟空云课堂】第十七期 违规的对象模型:对象只定义了Equals和Hashcode方法之一的漏洞(CWE-581),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!
该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。
【悟空云课堂】第十七期 违规的对象模型:对象只定义了Equals和Hashcode方法之一的漏洞(CWE-581: Object Model Violation: Just One of Equals and Hashcode Defined)
什么是“违规的对象模型:对象只定义了Equals和Hashcode方法之一”的漏洞?
也就是同一个对象没有同时包含equals和hashcode。因为Java对象需要遵守许多与相等相关的约束条件。其中一个约束条件是两个变量相等则两个变量必须具有相同的哈希值。换句话说,如果a.equals(b)== true,则a.hashCode()== b.hashCode()。
“违规的对象模型:只定义了Equals和Hashcode方法之一”的漏洞构成条件有哪些?
满足以下条件,就构成了一个该类型的安全漏洞:
一个类中,只有equals或者hashCode方法中的一个。
“违规的对象模型:只定义了Equals和Hashcode之一”的漏洞会造成哪些后果?
关键词:数据问题;程序执行异常;
在集合中,相等的对象期望拥有相同的哈希值。若某个类定义了equals方法但是没有定义 hashCode方法,则相等的对象可能产生不同的哈希值。
“违规的对象模型:只定义了Equals和Hashcode之一”的漏洞的防范和修补方法有哪些?
在定义了equals方法的类中同时定义Hashcode方法。
“违规的对象模型:只定义了Equals和Hashcode之一”的漏洞样例:
public class Just_one_of_Equals_or_hashCode_defined_bad { int a;String b;public Just_one_of_Equals_or_hashCode_defined_bad(int a, String b) {this.a = a;this.b = b;}public boolean equals(Object o) { // 错误代码 仅定义了equals方法或hashcode方法Just_one_of_Equals_or_hashCode_defined_bad d = (Just_one_of_Equals_or_hashCode_defined_bad) o;if(d != null){return (this.a == d.a) && (this.b.equals(d.b));}elsereturn false;}}
用Wukong(悟空)软件代码安全检测修复系统检测上述程序代码,则可以发现代码中存在着“违规的对象模型:只定义了Equals和Hashcode之一” 导致的代码缺陷,如下图:
“违规的对象模型:只定义了Equals和Hashcode之一“在CWE中被编号为CWE-581: Object Model Violation: Just One of Equals and Hashcode Defined
更多的信息请参考CWE官网:http://cwe.mitre.org/data/definitions/581.html
了解更多安全资讯 请关注公众号 中科天齐软件安全中心
这篇关于【悟空云课堂】第十七期 违规的对象模型:对象只定义了Equals和Hashcode方法之一的漏洞(CWE-581)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!