Java 强化报告”;“侵犯隐私”;问题
Fortify将以下代码识别为“隐私侵犯”类别的漏洞/问题Java 强化报告”;“侵犯隐私”;问题,java,eclipse,jsp,jsp-tags,fortify,Java,Eclipse,Jsp,Jsp Tags,Fortify,Fortify将以下代码识别为“隐私侵犯”类别的漏洞/问题 sbfOut.append(" validateSSN(document.form1." + name + ",\" \",\" \")' " + override + "; >"); out.println(sbfOut.toString()); } // SN end else if (fieldType.equals(CoCons
sbfOut.append(" validateSSN(document.form1." + name
+ ",\" \",\" \")' " + override + "; >");
out.println(sbfOut.toString());
} // SN end
else if (fieldType.equals(CoConstants.DE_ELEMENT_TYPE_TN
sbfOut.append(" <OPTION VALUE='0'>-NO DATA-</OPTION>");
try {
out.println(sbfOut.toString());
} catch (IOException ioe) {
debug("Exception In coCustomTag" + ioe
sbfOut.append(“-NO DATA-”);
试一试{
out.println(sbfOut.toString());
}捕获(ioe异常ioe){
调试(“coCustomTag中的异常”+ioe
请忽略打开的大括号和全部,因为我在这里只放了Fortify标识的代码部分。如果在您的第一个代码段中创建了HTML输出,并且用户可以更改
名称名称设置为,“”,“”;警报(“Hi”);//
可能会导致弹出警报框。我被打扰了大约三天或更长时间,在谷歌上搜索我能得到的任何线索,直到我在审计工作台左下角的堆栈跟踪中查找(在强化中)。堆栈顶部跟踪提示我的问题是由名为decrypt(…)
的方法引起的。信不信由你,当我重命名该方法时,问题消失了。如果你认为此问题是假阳性,或者你可以忽略它
Fortify Java注释@FortifyNotPassword、@FortifyNotPrivate可用于指示哪些字段和变量表示密码和私有数据
这些注释将告诉fortify code analyzer忽略这些字段,问题就消失了
查看下面以了解更多详细信息
我不得不猜测,但您是否有可能记录姓名等数据?我不知道fortify,但“隐私侵犯”似乎暗示要将姓名等个人数据写入更永久的存储,如日志文件。@Thomas here out.println(sbfOut.toString());在这两部分中都存在,out的类型为“JSPWriter”谢谢你的解释。但是你能解释一下这里的隐私侵犯问题在哪里。这是因为“out.println(sbfOut.toString());”在这两种情况下。这里的仅供参考是“JSPWriter”类型确切地说,这些地方是可从外部修改的文本变成HTML输出的地方:out.println(text\u modifiable\u from\u outside)
我怀疑这是否能解决问题。我猜重命名会误导审计工作台,使问题不再存在。