恶意代码漏洞 - 可能通过合并对可变对象的引用来公开内部表示

时间:2013-09-23 08:33:59

标签: java

我的dto课程中有以下代码。

public void setBillDate(Date billDate) {
    this.billDate = billDate;
}

我在声纳中发现错误,我不知道我在这里做错了什么。

Malicious code vulnerability - May expose internal representation by incorporating reference to mutable object

该类是一个dto,该方法是自动创建的setter方法。我在这做错了什么。如果有人能解释。这将是一个很大的帮助。

7 个答案:

答案 0 :(得分:105)

Date是可变的

使用该setter,有人可以从外面修改日期实例无意中

考虑一下

class MyClass {

   private Date billDate;


   public void setBillDate(Date billDate) {
      this.billDate = billDate;
   }

}

现在有人可以设置它

MyClass m = new MyClass();

Date dateToBeSet = new Date();
m.setBillDate(dateToBeSet); //The actual dateToBeSet is set to m

dateToBeSet.setYear(...); 
//^^^^^^^^ Un-intentional modification to dateToBeSet, will also modify the m's billDate

为避免这种情况,您可能需要在设置

之前深层复制 
public void setBillDate(Date billDate) {
    this.billDate = new Date(billDate.getTime());
}

答案 1 :(得分:42)

我想知道为什么没有一个解决方案考虑到零。一般的,无效的解决方案应如下所示:

public void setBillDate(Date billDate) {
    this.billDate = billDate != null ? new Date(billDate.getTime()) : null;
}

答案 2 :(得分:3)

Date是可变的

并且您没有创建 Date副本来自您的参数。因此,如果客户端代码将更改Date对象的值,它也会影响您的类。

解决方案是创建Date

的副本 
public setBillDate(Date billDate){
   this.billDate = new Date(billDate.getTime());
}

答案 3 :(得分:3)

考虑使用克隆。不要忘记空检查。

public void setBillDate(Date billDate) {
    this.billDate = billDate == null ? null : billDate.clone();
}

答案 4 :(得分:3)

除了现有的答案之外,我还提出了一个基于Java 8的options.legend.onClick类的新版本。

Optional

答案 5 :(得分:1)

日期不是不可变的,即您的billDate可以在DTO对象上设置后更改。或者,在代码中:

Date billDate = new Date();
dto.setBillDate(billDate);
billDate.setYear(1990);
// now, dto.getBillDate().getYear() == 1990

您可以让您的二传手更安全:

public void setBillDate(Date billDate) {
    this.billDate = (Date)billDate.clone();
}

答案 6 :(得分:0)

一个反驳论证可能是,为什么一个无意中修改日期?如果客户端设置了值然后修改它,那么我们的代码应该反映它,不是吗?如果不是那么它不会混淆吗?

我更喜欢忽略这个FindBugs警告。

如果您想这样做,只需在pom.xml中添加以下Maven依赖项:

<!-- Findbugs -->
        <dependency>
            <groupId>com.google.code.findbugs</groupId>
            <artifactId>annotations</artifactId>
            <version>3.0.1</version>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>com.google.code.findbugs</groupId>
            <artifactId>annotations</artifactId>
            <version>3.0.1</version>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>com.google.code.findbugs</groupId>
            <artifactId>jsr305</artifactId>
            <version>3.0.1</version>
            <scope>provided</scope>
        </dependency>

然后在POJO中的类或成员字段级别进行这些注释:

@SuppressFBWarnings(value = { "EI_EXPOSE_REP", "EI_EXPOSE_REP2" }, justification = "I prefer to suppress these FindBugs warnings")

干杯

阿克沙伊

相关问题
最新问题