作者lueichun (= =)
看板java
标题[问题] 使用fortify扫瞄出system information le
时间Wed Aug 19 18:14:12 2020
我最近开始学习使用fortify来扫描程式的弱点,
其中扫描到一个弱点是
system information leak internal
是出现在使用apache.log4j.Logger的地方,只要用到
private final static Logger logger = Logger.getLogger(Test.class);
logger.error("xxx method is error",e);
logger.info("xxx method is executing");
就会出现以上的弱点。
或是使用
request.getSession().setAttribute("test",testStr),也会跳出
trust boundary violation弱点。
------------------------------------
这些看起来都是很平常的写法,所以我也想不到可以怎麽修改,有人可以提供建议吗?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.216.21.126 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/java/M.1597832054.A.3F8.html
1F:→ jej: 可以查看recommend,. 可以看到很无言的原因 和无奈的解法 08/19 18:49
2F:推 swpoker: 其实可以绕过去喔 08/23 05:30
3F:→ tw11509: 有些就算照着改还是会被扫出来,毕竟是静态扫描,麻烦的 08/26 08:53
4F:→ tw11509: 是有些公司不允许看到任何弱点XD 08/26 08:53