CWE-688: Function Call With Incorrect Variable or Reference as Argument(以不正确的变量或引用作为参数的函数调用)

最新推荐文章于 2024-04-20 00:01:15 发布
最新推荐文章于 2024-04-20 00:01:15 发布
阅读量245 收藏
点赞数
分类专栏: 漏洞检查 文章标签: 参数调用漏洞 函数调用漏洞 漏洞扫描 静态分析 安全漏洞
博客介绍了软件调用函数时,因调用方指定错误变量或引用作为参数,可能导致未定义行为和结果的弱点。涉及C、Perl等语言,还给出Java代码示例,并提及与研究、开发层面视图相关,最后提到应对措施等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 ID: 688

类型:变量
结构:简单

状态:草稿

描述

软件调用函数、过程或例程,但调用方指定错误的变量或引用作为参数之一,这可能导致未定义的行为和结果弱点。

相关视图

与“研究层面”视图(CWE-1000)相关

与“开发层面”视图(CWE-699)相关

引入模式

阶段

说明

实现

此问题通常在打字错误或是拷贝粘贴错误时发生。

应用平台

语言

C (出现的可能性不确定)

Perl (出现的可能性不确定)

后果

范围

冲击

可能性

其它

技术冲击: 质量下降

 

示例

例1

在下面的java代码段中,accessGranted()方法调用时候不小心以静态ADMIN_ROLES数组作为参数而没有使用user roles作为参数。

(问题代码)

Example Language: Java 

private static final String[] ADMIN_ROLES = ...;
public boolean void accessGranted(String resource, String user) {

String[] userRoles = getUserRoles(user);
return accessGranted(resource, ADMIN_ROLES);

}

private boolean void accessGranted(String resource, String[] userRoles) {


// grant or deny access based on user roles
...

}

应对措施

阶段: 测试

由于此函数调用通常会产生不正确的行为,因此通常会在测试或软件正常运行期间检测到它。在测试过程中,所有可能的控制路径通常都会暴露出这个弱点,除非在极少数情况下,不正确的函数调用意外地产生正确的结果,或者如果提供的参数类型与预期的参数类型非常相似。

种属

关系

类型

ID

名称

属于

998

SFP Secondary Cluster: Glitch in Computation

CWE:通病总结
mzhan017的博客
12-16 5280
文章目录网站398686 网站 https://cwe.mitre.org/data/definitions/686.html 398 风格问题,如果一个局部变量,可以放在一个更小的区域,而且满足使用,最好是将作用域缩小。但是需要注意要搞错。检查工具有点时候,检查有问题。 [STYLE] (cwe=398, variableScope): The scope of the variable ‘left’ can be reduced., The scope of the variable ‘left’ c
Find-Sec-Bugs 漏洞范例
热门推荐
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
关于c99标准6.2.2中的第四点的理解
lengye7的博客
05-08 266
For an identifier declared with the storage-class specifier extern in a scope in which a prior declaration of that identifier is visible,23) if the prior declaration specifies internal orexternal link...
VScode使用之C语言静态检查
会打莎士比亚的猴子的博客
10-25 9781
C语言静态检查
Incorrect arguments to DATA DIRECTORY的解决
lvshanhshan的博客
05-31 5267
mysql> create table t1(id int,name varchar(100)) engine=myisam     -> data directory='/usr/local/mysql/data'    -> index directory='/usr/local/mysql/index';ERROR 1210 (HY000): Incorrect argum...
代码质量优化之静态代码扫描
linchuanzhi_886的专栏
04-20 2333
质量是保证产品和服务满足顾客需求的关键,真正的好产品,是能以用户为中心,和用户做朋友的。作为开发人员,除了保证产品基础功能正常外,还要保证高标准的代码质量。代码质量可以从代码的严谨性、可读性、可维护性、健壮性、性能和效率、代码覆盖度、易测性、可移植性几个面的评价。严谨性:指的是逻辑严谨,代码逻辑要符合运行预期。在这一环节,要避免内存泄漏、句柄泄漏、使用恰到的同步\异步机制等。好的代码质量,在某段代码指令执行后,会产生什么样的动作、内存功耗占用多少都是要符合预期的。
静态代码分析工具简介
star的博客
09-25 6406
静态代码分析工具简介 什么是静态代码分析 静态代码分析是指无需运行被测代码,仅通过分析检查源程序的语法、结构、过程、接口等来检查程序的正确性,找出代码隐藏的错误和缺陷,如参数匹配,有歧义的嵌套语句,错误的递归,非法计算,可能出现的空指针引用等等。 在软件开发过程中,静态代码分析往往先于动态测试之前进行,同时也可以作为制定动态测试用例的参考。统计证明,在整个软件开发生命周期中,30% 至 70%...
高通平台环境搭建,编译,系统引导流程分析
u010503912的专栏
08-15 5865
http://blog.youkuaiyun.com/lq50714/article/details/7053493 http://www.cnblogs.com/LoongEmbedded/p/5298265.html 1、高通平台Android开发总结 1.1 搭建高通平台环境开发环境 在高通开发板上烧录文件系统 建立高通平台开发环境 高通平台,android和 m
CWE-73: External Control of File Name or Path
Pollias的博客
11-28 1104
解决Veracode的CWE-73:“外部控制文件名路径”
【悟空云课堂】第二十三期:对XML外部实体引用当限制(CWE-611 :Improper Restriction of XML External Entity Reference
Tianqi_Wukong的博客
01-20 896
【悟空云课堂】第二十三期:对XML外部实体引用当限制(CWE-611: Improper Restriction of XML External Entity Reference) 什么是对XML外部实体引用当限制? 该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将正确的文档嵌入其输出中。 XML文档可以选择包含文档类型定义(DTD),该文档类型定义(DTD)除其他功能外,还可以定义XML实体。可以通过提供URI形式的替换字符串来定义
【悟空云课堂】第七期:安全的反射漏洞CWE-470: Use of Externally-Controlled Input to Select Classes or Code)
Tianqi_Wukong的博客
01-20 786
【悟空云课堂】第七期:安全的反射漏洞 什么是安全的反射漏洞? 反射这一概念最早由编程开发人员Smith在1982年提出,主要指应用程序访问、检测、修改自身状态与行为的能力。这一概念的提出立刻吸引了编程界的极大关注,各种研究工作随之展开,随之而来引发编程革命,出现了多种支持反射机制的面向对象编程语言。 *在Java编程语言中,Java反射机制主要提供了以下功能: *在运行时判断任意一个对象所属的类; *在运行时构造任意一个类的对象; *在运行时判断任意一个类所具有的成员变量法; *在运行时调用任意一个
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 621
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...
软件需求工程大作业(python spider)
08-08
资源下载链接为: https://pan.quark.cn/s/de4c4975d458 软件需求工程大作业(python spider)(最新、最全版本!打开链接下载即可用!)
VMD算法参数优化技巧:手动调整惩罚因子与包络熵的关系及其应用
08-08
内容概要:本文详细探讨了VMD(变分模态分解)算法中参数优化的具体法,特别是惩罚因子α和模态数K的调整。文中通过实际案例展示了如何利用Python代码手动调整这两个关键参数,并通过计算包络熵评估优化效果。作者还分享了一些实用的经验法则和技术,如网格搜索、半自动策略以及肉眼验证等,帮助读者更好地理解和掌握VMD参数优化的实际操作。 适合人群:从事信号处理、机械故障诊断等相关领域的工程师和技术人员,尤其是那些需要对复杂信号进行有效分解和分析的专业人士。 使用场景及目标:适用于需要对振动信号其他复杂信号进行精确分解的应用场合,旨在提高模态分解的质量,确保每个模态分量尽可能纯净,从而为后续的数据分析和故障诊断提供可靠的基础。 阅读建议:读者可以通过本文提供的具体实例和代码片段,结合自己的实际应用场景,尝试同的参数配置,逐步积累经验和直觉,最终达到熟练掌握VMD参数优化的目的。同时,注意参数之间的相互影响,避免过度追求数学指标而忽视物理意义。
电力电子领域15KW充电模块电路设计解析及其功能应用
08-08
内容概要:本文深入探讨了15KW充电模块的电路设计及其功能应用。首先,文章详细介绍了充电模块的主电路构成,包括从交流电到直流电的转换过程,涉及整流、滤波电路,以及利用IGBT进行功率调节的关键步骤。接着,阐述了多种保护机制如过流、过压、欠压保护的具体实现法,确保充电模块的安全性和稳定性。此外,还解释了充电模块的性能参数,如输出功率、电压范围、效率等,并讨论了模块间的通信式(如CAN通信)和散热设计,强调了这些因素对于模块正常运作的重要性。 适合人群:从事电力电子、新能源汽车充电设施设计与维护的技术人员,以及对充电模块感兴趣的电子工程爱好者。 使用场景及目标:帮助技术人员更好地理解和优化充电模块的设计,提高其工作效率和产品质量;同时激发电子工程爱好者的兴趣,促进他们对该领域的进一步探索。 其他说明:文章仅提供了详细的理论分析和技术细节,还结合实际应用场景进行了生动形象的比喻和解释,使复杂的电路概念变得通俗易懂。
基于SpringBoot+Vue的社区便民服务平台设计与实现【附万字论文+PPT+包部署+录制讲解视频】.zip
08-08
标题基于SpringBoot+Vue的社区便民服务平台研究AI更换标题第1章引言介绍社区便民服务平台的研究背景、意义,以及基于SpringBoot+Vue技术的研究现状和创新点。1.1研究背景与意义分析社区便民服务的重要性,以及SpringBoot+Vue技术在平台建设中的优势。1.2国内外研究现状概述国内外在社区便民服务平台面的发展现状。1.3研究法与创新点阐述本文采用的研究法和在SpringBoot+Vue技术应用上的创新之处。第2章相关理论介绍SpringBoot和Vue的相关理论基础,以及它们在社区便民服务平台中的应用。2.1SpringBoot技术概述解释SpringBoot的基本概念、特点及其在便民服务平台中的应用价值。2.2Vue技术概述阐述Vue的核心思想、技术特性及其在前端界面开发中的优势。2.3SpringBoot与Vue的整合应用探讨SpringBoot与Vue如何有效整合,以提升社区便民服务平台的性能。第3章平台需求分析与设计分析社区便民服务平台的需求,并基于SpringBoot+Vue技术进行平台设计。3.1需求分析明确平台需满足的功能需求和性能需求。3.2架构设计设计平台的整体架构,包括前后端分离、模块化设计等思想。3.3数据库设计根据平台需求设计合理的数据库结构,包括数据表、字段等。第4章平台实现与关键技术详细阐述基于SpringBoot+Vue的社区便民服务平台的实现过程及关键技术。4.1后端服务实现使用SpringBoot实现后端服务,包括用户管理、服务管理等核心功能。4.2前端界面实现采用Vue技术实现前端界面,提供友好的用户交互体验。4.3前后端交互技术探讨前后端数据交互的式,如RESTful API、WebSocket等。第5章平台测试与优化对实现的社区便民服务平台进行全面测试,并针对问题进行优化。5.1测试环境与工具介绍测试
示波器FPGA设计案:高性能、高可靠性的详细设计文档与代码资源
08-08
内容概要:本文介绍了示波器FPGA设计案及其详细设计文档和代码资源。首先阐述了FPGA在现代电子技术中的重要性和应用背景,特别是在高性能模拟电路和嵌入式系统领域的广泛应用。接着明确了设计目标,即开发一款高性能、高可靠性、低成本的示波器FPGA芯片,并从模块化设计角度出发,详细解释了各个功能模块(如时钟管理、逻辑处理、存储器等)的设计原理和技术细节。最后提供了丰富的设计文档和代码资源,涵盖原理图、布局布线图、模块设计文档以及优化报告等,为开发者提供了宝贵的参考资料。 适用人群:从事FPGA设计、嵌入式系统开发的技术人员,尤其是对示波器FPGA设计感兴趣的工程师。 使用场景及目标:①用于理解和掌握示波器FPGA的设计法和技术要点;②作为实际项目开发中的参考资料,帮助提升设计质量和开发效率。 其他说明:文中强调了FPGA设计资料的稀缺性,并呼吁更多人关注这一领域的发展,分享更多的设计经验和资源。
MySQL安装与配置.ppt
最新发布
08-08
数据库mysql安装教程,详细安装过程。学习安装从0开始
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值