作者lueichun (= =)
看板java
標題[問題] 使用fortify掃瞄出system information le
時間Wed Aug 19 18:14:12 2020
我最近開始學習使用fortify來掃描程式的弱點,
其中掃描到一個弱點是
system information leak internal
是出現在使用apache.log4j.Logger的地方,只要用到
private final static Logger logger = Logger.getLogger(Test.class);
logger.error("xxx method is error",e);
logger.info("xxx method is executing");
就會出現以上的弱點。
或是使用
request.getSession().setAttribute("test",testStr),也會跳出
trust boundary violation弱點。
------------------------------------
這些看起來都是很平常的寫法,所以我也想不到可以怎麼修改,有人可以提供建議嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.216.21.126 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/java/M.1597832054.A.3F8.html
1F:→ jej: 可以查看recommend,. 可以看到很無言的原因 和無奈的解法 08/19 18:49
2F:推 swpoker: 其實可以繞過去喔 08/23 05:30
3F:→ tw11509: 有些就算照著改還是會被掃出來,畢竟是靜態掃描,麻煩的 08/26 08:53
4F:→ tw11509: 是有些公司不允許看到任何弱點XD 08/26 08:53