关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！

该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。

什么是违反信任边界？
让数据从不受信任的一边移到受信任的一边却未经验证。

违反信任边界漏洞的构成条件有哪些？
当程序模糊了受信任和不受信任之间的界限时，就会发生信任边界冲突。

违反信任边界漏洞会造成哪些后果？
开发者更容易错误地相信那些未被验证的数据，导致未经验证的数据被攻击者利用。信任边界可以被认为是画在程序中的一条线，线的一侧是不受信任数据；另一侧，我们认为数据是可以被信任的。

一个受信任的边界可以被认为是由系统划出的边境，例如session（包括HttpSession和HttpServletContext容器）、attribute、application、数据库、文件等在服务端存储边界都认为是受信任的。

反之来自HTTP的post或者get方式取得参数值是不受信任的。凡是将非受信任边界的参数转入到受信任的边界内，需要对参数值进行检查，否则造成信任边界违例。如果没有建立和维护良好的信任边界，开发者将不可避免地失去对哪些数据已经验证、哪些没有验证的跟踪。这种混乱最终将允许一些数据在没有首先验证的情况下使用。

违反信任边界漏洞的防范和修补方法有哪些？
增加验证逻辑让数据安全地穿过信任边界，即从不受信任的一边移到受信任的一边。

违反信任边界漏洞样例：

public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {String username = request.getParameter("username");
HttpSession session = request.getSession();
session.setAttribute("username",username);  //没有验证username是否可信任
//其它语句
}

用Wukong检测上述程序代码，则可以发现代码中存在着“空密码” 导致的代码缺陷，如下图：

违反信任边界漏洞在CWE中被编号为CWE-501: Trust Boundary Violation

更多的信息请参考CWE官网：http://cwe.mitre.org/data/definitions/501

了解更多安全资讯 请关注公众号【中科天齐软件安全中心】

【悟空云课堂】第三十九期：违反信任边界（CWE-501: Trust Boundary Violation）相关推荐

1. 【悟空云课堂】第二十六期：通过错误消息导致的信息暴露（CWE-209:Generation of Error Message Containing Sensitive Information）

   关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...

2. 【悟空云课堂】第十四期：使用已破解或危险的加密算法导致的漏洞（CWE-327: Use of a Broken or Risky Cryptographic Algorithm）

   关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...

3. 【悟空云课堂】第十期：日志伪造漏洞（CWE-117: Improper Output Neutralization for Logs）

   关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...

4. 【悟空云课堂】第二十三期：对XML外部实体引用的不当限制（CWE-611 ：Improper Restriction of XML External Entity Reference）

   关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...

5. 【悟空云课堂】第十二期：LDAP注入漏洞（CWE-90: Improper Neutralization of Special Elements used in an LDAP Query）

   关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...

6. Rigetti完成英国量子计算机的搭建；拓扑量子计算遭遇严重的挫折 | 全球量子科技与工业快讯第三十九期

   Rigetti完成英国量子计算机的搭建 Rigetti及其合作伙伴已经在英国完成了首个量子计算系统的建设,并计划在2022年初通过Rigetti量子云服务提供该系统.这台商用量子计算机是英国的第一台, ...

7. sed 第n行后加入_【高新课堂】第一百三十九期Liunx运维17个实用技巧

   来源:高效运维 1.查找前目录下所有以.tar结尾的文件然后移动到指定目录 find . -name "*.tar" -exec mv {}./backup/ ; 注解:find ...

8. 第三十九期:1024特别版：向“程序媛们”致敬！

   对女性程序员而言,似乎怎么选择都是错:闯入男性领地,输了,会强化社会对女性的固有刻板印象:赢了,打破了职业性别固化,会导致整个职业收入的下降. 作者:奇点.轻音 "到家得十二点半了,我现在真 ...

9. 第一百三十九期:11月数据库排行：排名前三数据库分数暴跌

   DB-Engines 数据库流行度排行榜 11 月更新已发布,与上期数据相比,这期排行榜最大的亮点就是排名前三数据库那引人注目的"红色"分数. 作者:局长 DB-Engines 数 ...

最新文章

1. 【UIKit】UITableView.02
2. 解决项目莫名奇妙的报错问题
3. 支持向量机python代码_支持向量机及python实现（一）
4. php 结尾,PHP“意外结束”
5. eplise怎么连接数据库_eclipse连接mysql
6. win7系统出现蓝屏0x0000003b怎么解决
7. Python 操作 Windows 粘贴板
8. django 环境配置.
9. 连通域的原理与Python实现
10. 什么是阿里云服务器系统盘和数据盘？
11. 操作 Wave 文件(5): 获取 Wave 文件的格式信息
12. 教你破解已转换为EXE格式的Bat
13. svn忽略不需要同步的文件夹_配置管理-SVN使用指南 - wuli潇潇
14. qpython3l表白编程_沫琼的喜欢 | LOFTER（乐乎） - 让兴趣，更有趣
15. oracle数据库有哪些权限,ORACLE数据库中权限有哪些？
16. 肖飒：币圈新“口袋罪”？
17. Appium JAVA ios 设备 AUT not install
18. 安利个神器， Python 脚本可轻松打包为 exe
19. 为什么装完计算机系统后进不去,电脑重新装完系统后开机后就这个样子,一直进不去是为什么?...
20. 3D Question Answering

热门文章

1. 利用python爬取甲骨文图片及其对应的汉字含义，共1062个甲骨文，百度云下载
2. 火狐浏览器弹性布局没有开启的问题
3. MongoDB 添加、查询（条件查询、排序、分页、返回指定字段）、修改、删除数据、聚合aggregate
4. c语言字符类型中int表示什么,int表示什么数据类型
5. deepin系统ll命令不可用解决方法
6. HTML----基础案例（与笔记对应）
7. python matplotlib plt 画图总结
8. 笔试加分题：有16瓶水，其中只有一瓶水有毒，小白鼠喝一滴之后一小时会死。请问最少用（） 只小白鼠，在1小时内一定可以找出有毒的水？
9. K.im团队与Kim Dotcom AMA直播回顾
10. 面试总结-拉开2014校招的序幕