加强经常被误用的身份验证java.net.InetAddress_Java_Fortify

加强经常被误用的身份验证java.net.InetAddress

java

加强经常被误用的身份验证java.net.InetAddress,java,fortify,Java,Fortify,我们正在使用Fortify进行静态代码分析。强化扫描报告的问题之一是“经常被误用：身份验证”。对于类“java.net.InetAddress”中下列方法之一的所有使用情况，将标记该问题对于相同的问题，理想的解决方案是什么有人提出了一种可能的方法，我不确定我们是否有其他方法来解决这个问题感谢该漏洞实际上是在警告您作为开发人员不要信任这些文件的输出。确定服务器是否是他们所说的服务器的一种有效方法是使用SSL。在您的应用程序中，您似乎只是获得一个服务器列表，并将身份验证请求转发给它们。如果用

我们正在使用Fortify进行静态代码分析。强化扫描报告的问题之一是“经常被误用：身份验证”。对于类“java.net.InetAddress”中下列方法之一的所有使用情况，将标记该问题

对于相同的问题，理想的解决方案是什么

有人提出了一种可能的方法，我不确定我们是否有其他方法来解决这个问题

感谢

该漏洞实际上是在警告您作为开发人员不要信任这些文件的输出。确定服务器是否是他们所说的服务器的一种有效方法是使用SSL。

在您的应用程序中，您似乎只是获得一个服务器列表，并将身份验证请求转发给它们。如果用户随后通过SSL连接以与机器进行身份验证，这可能不成问题（只要自签名证书不允许连接）

该漏洞实际上只是警告您作为开发人员不要信任这些证书的输出。确定服务器是否是他们所说的服务器的一种有效方法是使用SSL。

问题不清楚，您当前是否使用InetAddress的详细信息进行身份验证，我们有一个Java进程（Dispatcher），它将引用执行身份验证的其他服务器的列表。通常，客户端将引用Dispatcher并获取客户端将向其转发身份验证请求的身份验证服务器列表。现在，调度器使用getHostAddress来确定将返回给客户端的身份验证服务器的IP地址。因此，在DNS欺骗攻击下，攻击者可能会收到包含凭据的身份验证请求。因此，我想知道如何处理这种情况。@param83如果您能够解决这个问题，请分享这个例子。目前还不清楚，您是否正在使用InetAddress的详细信息进行身份验证，并询问您应该使用哪种身份验证？我们有一个Java进程（Dispatcher）它将引用执行身份验证的其他服务器的列表。通常，客户端将引用Dispatcher并获取客户端将向其转发身份验证请求的身份验证服务器列表。现在，调度器使用getHostAddress来确定将返回给客户端的身份验证服务器的IP地址。因此，在DNS欺骗攻击下，攻击者可能会收到包含凭据的身份验证请求。因此，我想知道如何处理这种情况。@param83如果你能解决这个问题，请分享这个例子

getAddress()
getByName(bindAddress)
getHostName()
getHostAddress()
getCanonicalHostName()
getLocalHost()
getAllByName()