悟空云课堂丨代码安全第三十七期:除数有可能为零缺陷漏洞
共 689字,需浏览 2分钟
·
2021-05-25 16:40
中科天齐倾情打造《悟空云课堂》旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为除数有可能为零缺陷漏洞的相关介绍。
01 什么是除数有可能为零缺陷?
运算操作时,除法或求余数操作容易受到除数有可能为零的影响。因此,必须在操作之前检查除法运算或求余数运算中的除数不为零。
根据除法的意义,除法是已知两个因数的积与其中一个因数,求另一个因数的运算。利用除法与乘法的互逆关系可知,如果除数为零,则:当被除数不为零,由于“任何数乘零都等于零,而不可能等于不是零的数”,此时除法算式的商不存在——即任何数的零倍都不可能为非零数;当被除数为零,即除法算式零÷零,由于“任何数乘零都等于零”,于是商可以是任何数——即任何数的零倍都等于零。为了避免以上两种情况,数学中规定“零不能做除数”。
02 除数有可能为零缺陷的构成条件有哪些?
运算中,除法或求余数操作时,除数没有经过测试,有可能为零。
03 除数有可能为零缺陷会造成哪些后果?
如果不验证除数的输入值不为零,那么这将造成一个试图除以零的异常。如果Java的异常处理没有处理此错误,则可能发生意外的结果,甚至导致崩溃。
04 除数有可能为零缺陷的防范和修补方法有哪些?
在进行除法或求余数操作前,对除数进行测试,以保证不存在除数为零的可能性。
05 除数有可能为零缺陷样例(Date类中的大部分方法都已经被Calendar类中的方法所取代):
用静态代码检测分析上述程序代码,则可以发现代码中存在着“除数有可能为零” 导致的代码缺陷,如下图:
除数有可能为零缺陷在CWE中被编号为CWE-369:DivideBy Zero