[问题] 使用fortify扫瞄出system information le

楼主: lueichun (no anonymous)   2020-08-19 18:14:12
我最近开始学习使用fortify来扫描程式的弱点,
其中扫描到一个弱点是system information leak internal
是出现在使用apache.log4j.Logger的地方,只要用到
private final static Logger logger = Logger.getLogger(Test.class);
logger.error("xxx method is error",e);
logger.info("xxx method is executing");
就会出现以上的弱点。
或是使用request.getSession().setAttribute("test",testStr),也会跳出
trust boundary violation弱点。
作者: jej (晃奶大馬桶)   2020-08-19 18:49:00
可以查看recommend,. 可以看到很无言的原因 和无奈的解法
作者: swpoker (swpoker)   2020-08-23 05:30:00
其实可以绕过去喔
作者: tw11509 (John-117)   2020-08-26 08:53:00
有些就算照着改还是会被扫出来,毕竟是静态扫描,麻烦的是有些公司不允许看到任何弱点XD

Links booklink

Contact Us: admin [ a t ] ucptt.com