悟空云课堂丨代码安全第三十七期：除数有可能为零缺陷漏洞

中科天齐倾情打造《悟空云课堂》旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为除数有可能为零缺陷漏洞的相关介绍。

01 什么是除数有可能为零缺陷?

运算操作时，除法或求余数操作容易受到除数有可能为零的影响。因此，必须在操作之前检查除法运算或求余数运算中的除数不为零。

根据除法的意义，除法是已知两个因数的积与其中一个因数，求另一个因数的运算。利用除法与乘法的互逆关系可知，如果除数为零，则：当被除数不为零，由于“任何数乘零都等于零，而不可能等于不是零的数”，此时除法算式的商不存在——即任何数的零倍都不可能为非零数;当被除数为零，即除法算式零÷零，由于“任何数乘零都等于零”，于是商可以是任何数——即任何数的零倍都等于零。为了避免以上两种情况，数学中规定“零不能做除数”。

02 除数有可能为零缺陷的构成条件有哪些?

运算中，除法或求余数操作时，除数没有经过测试，有可能为零。

03 除数有可能为零缺陷会造成哪些后果?

如果不验证除数的输入值不为零，那么这将造成一个试图除以零的异常。如果Java的异常处理没有处理此错误，则可能发生意外的结果，甚至导致崩溃。

04 除数有可能为零缺陷的防范和修补方法有哪些?

在进行除法或求余数操作前，对除数进行测试，以保证不存在除数为零的可能性。

05 除数有可能为零缺陷样例(Date类中的大部分方法都已经被Calendar类中的方法所取代)：

用静态代码检测分析上述程序代码，则可以发现代码中存在着“除数有可能为零” 导致的代码缺陷，如下图：

除数有可能为零缺陷在CWE中被编号为CWE-369:DivideBy Zero