jdk的Double.parseDouble漏洞bug~

最新推荐文章于 2024-06-03 20:40:57 发布
最新推荐文章于 2024-06-03 20:40:57 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: 原创(tech) 文章标签: jdk string 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yaoweijq/article/details/6192002
版权

String s = "2.2250738585072012e-308";
  double d = Double.parseDouble(s);

大家可以先在jre1.6.0_24以前的版本上执行这两句话

看看会发生神马情况。

没错,死循环!

jdk的bug,据http://www.cnblogs.com/mengheyun/archive/2011/02/11/1951674.html里面讲到

这个bug2001年就被发现了

不过由于bug级别较低

在最近刚被修复,

上面的链接就是讲这个事情的。

以后用这个得注意了

防止不法人士用这个bug在攻击低于jre1.6.0_24的服务器。。。

 

让 Parse Double 漏洞无处藏身,工程师们必备神器!
OneRASP的博客
11-25 1739
我们很多人都会在网上购物买东西。但是,我们很多人都不清楚的是,很多电商网站会存在安全漏洞,比如拒绝服务漏洞问题。拒绝服务漏洞根据影响自低像高可分为:无效、服务降低、可自恢复的服务破坏、可人工恢复的服务破坏以及不可恢复的服务破坏。详细来说,如果攻击能力不足以导致目标完全拒绝服务,但造成了目标的服务能力降低,这种效果称之为服务降低。而当攻击能力达到一定程度时,攻击就可以使目标完全丧失服务能力,称之为服务
Java中的时间和日期(一):有关java时间的哪些坑
dhaibo1986的专栏
08-05 1491
文章目录1.容易混淆的日期格式字符串2.static的SimpleDateFormat3.格式字符串不匹配的坑4.讨厌的日期计算5.阿里规范的其他约定 从一开始学习java到现在,我们都一直在使用java.util.Date这个对象来表示时间和日期。使用也很方便: Date date = new Date(); System.out.println(date.toString()); 这样很容易的就得到了一个基于当前时间的字符串输出: Wed Aug 05 10:47:21 CST 2020 另外结合系
jdk1.7下Double.parseDouble性能问题排查
weixin_34356310的博客
07-17 496
开篇  这篇文章是对过去一个星期困扰自己的性能问题排查解决的一个总结,希望对其他人能够有所帮助,也希望在百度或者google的搜索引擎中能够被检索,因为在我解决问题的过程中我也是花了好长时间才找到一个相关的文章,同样我会在 Stack Overflow上发布这个问题,希望能够帮到更多的人。 背景  简单的系统...
Double.parseDouble()或者Double.valueOf()时数字字符串中有逗号报错
weixin_43124843的博客
07-24 2155
例如:String str = “1,300.00” 用这个解析方法 double d1 = new DecimalFormat().parse(str).doubleValue();
java parsedouble,Java中的parseDouble导致NumberFormatException
weixin_34795681的博客
02-24 770
I am trying to load info from a properties file and i have the following code:anInt = Integer.parseInt(prop.getProperty("anInt"));aDouble = Double.parseDouble(prop.getProperty("aDouble"));and while th...
原代码审计笔记-安全缺陷
scdncby的博客
11-11 5970
目录 原代码审计笔记-安全缺陷 URL重定向: 不安全的SSL(过于宽泛的证书信托): 反射型跨站脚本: 路径操纵: 拒绝服务(StringBuilder): 整数溢出: J2EE错误配置(过度会话超时): 代码正确性:字节数组到字符串转换: 原代码审计笔记-安全缺陷 URL重定向: 问题示例: protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException .
Java 8 Update 191 (8u191) 是Oracle公司于2018年10月发布的Java开发工具包(JDK)的一个更新版本
BLOG域名:programb.blog.youkuaiyun.com
05-19 2946
这个版本在Java 8的基础上进行了一些安全性、稳定性和性能上的改进,同时也修复了一些已知的bug。Java 8 Update 191适用于需要长期支持(Long Term Support, LTS)版本的企业用户和开发者,因为它提供了必要的安全更新和bug修复,同时保持了与现有系统的兼容性。Java 8 Update 191是一个重要的版本更新,它引入了一些新特性和改进,旨在提高开发者的生产力和代码的性能。:在并发标记阶段之后,会进行一次短暂的停顿,以处理在并发标记期间新出现的对象和引用变化。
Java基础(一)- 数据类型、运算符、数组、面向对象、常用API、JDK8、正则表达式
bossDDYY的博客
05-22 456
​ 字面量 告诉程序员:数据在程序中的书写形式整数型字面量:1 、2、 3 、100、 -100、 -20 … 浮点型字面量:1.3 、1.2、 3.14… 布尔型字面量:true、false没有其它值了,表示真和假,true表示真,false表示假 字符型字面量:‘a’、‘b’、‘中’ 字符串型字面量:“abc”、“a”、“b”、“中国”所有的字符型只能使用单引号括起来。 所有的字符串型只能使用双引号括起来Java语言中已经赋予了特定含义的 用来标识类名、对象名、变量名、方法名、类型名、数组名、文件名的有
带你快速看完9.8分神作《Effective Java》—— 枚举 & 注解篇
如切如磋,如琢如磨
12-16 1500
豆瓣评分9.8的图书《Effective Java》,是当今世界顶尖高手Josh Bloch的著作,在我之前的文章里我也提到过,编程就像练武,既需要外在的武功招式(编程语言、工具、中间件等等),也需要修炼心法(设计模式、源码等等)学霸、学神OR开挂 我个人在Java领域也已经学习了近5年,在修炼“内功”的方面也通过各种途径接触到了一些编程规约,例如阿里巴巴的泰山版规约,在此基础下读这本书的时候仍是让我受到了很大的冲激,学习到了很多约定背后的细节问题,还有一些让我欣赏此书的点是,书中对于编程规约的解释让我感
2024050201-重学 Java 设计模式《实战组合模式》
最新发布
qq_24428851的博客
06-03 458
从上图可以看到这有点像螺丝🔩和螺母,通过一堆的链接组织出一棵结构树。而这种通过把相似对象(也可以称作是方法)组合成一组可被调用的结构树对象的设计思路叫做组合模式。这种设计方式可以让你的服务组节点进行自由组合对外提供服务,例如你有三个原子校验功能(A:身份证B:银行卡C:手机号)服务并对外提供调用使用。有些调用方需要使用AB组合,有些调用方需要使用到CBA组合,还有一些可能只使用三者中的一个。
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 5479
Fortity 安全评测结果及解决方案
记一次parseDouble转换字符串为Double格式,遇到3出错问题,double乘以整数导致精度丢失问题
weixin_61718079的博客
10-11 1818
没有用BigDecimal转换出现的问题
网络攻击技术(三)——Denial Of Service
weixin_34411563的博客
02-05 655
1.1.1 摘要         最近网络安全成了一个焦点,除了国内明文密码的安全事件,还有一件事是影响比较大的——Hash Collision DoS(通过Hash碰撞进行的拒绝式服务攻击),有恶意的人会通过这个安全漏洞让你的服务器运行巨慢无比,那他们是通过什么手段让服务器巨慢无比呢?我们如何防范DoS攻击呢?本文将给出详细的介绍。   1.1.2 正文         在介绍Hash Coll...
正则表达式——Regular Expression
风口的猪2016
05-02 915
正则表达式中分为三种东西:字符   数字   空格 正则表达式:(java.util.regex中)处理字符串,字符的匹配perl语言是运用正则表达式很好的语言留下e-mile从网页中揪出来e-mile挨个发邮件(垃圾邮件,哈哈)    一个点代表一个字符   \\d代表数字,两个反斜杠代表一个反斜杠。 ReplaceAll()替换所有数字为横线  
java 字符串转double数字失去精度Double.parseDouble("0.00028")*100D
热门推荐
沈荣荣的博客
06-16 1万+
BigDecimal b1 = new BigDecimal(user.getDeposit_rate()); BigDecimal b2 = new BigDecimal(100); deposit_rate= b1.multiply(b2).doubleValue(); import java.math.BigDecimal; public class Arith{ /
Double.parseDouble()和Double.valueOf()方法的区别
bagpiping的博客
11-19 9885
环境:Myeclipse 看图说话: p方法得到的数据类型不能继续编译了,因为这个方法得到的是 double ,是Java的基本数据类型。 valueOf 方法得到的数据类型可以继续往下编译,因为这个方法得到的是 Double,是对象,粗略地说是Java的引用数据类型。 ...
Double.parseDouble()
qq_37683447的博客
05-11 1101
Double.parseDouble()是把括号里面内容变成double类型;如果要变成int,则用Integer.parseInt()。
java.lang.NullPointerException java.base/jdk.internal.math.FloatingDecimal.readJavaFormatString(FloatingDecimal.java:1838) java.base/jdk.internal.math.FloatingDecimal.parseDouble(FloatingDecimal.java:110) java.base/java.lang.Double.parseDouble(Double.java:543) AddToCartServlet.doGet(AddToCartServlet.java:9) javax.servlet.http.HttpServlet.service(HttpServlet.java:529) javax.servlet.http.HttpServlet.service(HttpServlet.java:623) org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:51)
06-06
这是一个 Java 中的异常信息,具体错误原因需要查看代码。根据异常信息可以看出,错误发生在`AddToCartServlet.doGet(AddToCartServlet.java:9)`这一行代码,也就是在`AddToCartServlet`的`doGet`方法中发生了异常。异常类型是`java.lang.NullPointerException`,也就是空指针异常。这个异常通常是因为代码中出现了空对象引用导致的。具体原因需要查看代码中第9行的语句,确认哪个变量为空了,然后进行修正。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值