[问题] 使用fortify扫瞄出system information le lueichun PTT批踢踢实业坊

[问题] 使用fortify扫瞄出system information le

楼主: lueichun (no anonymous) 2020-08-19 18:14:12

我最近开始学习使用fortify来扫描程式的弱点，
其中扫描到一个弱点是system information leak internal
是出现在使用apache.log4j.Logger的地方，只要用到
private final static Logger logger = Logger.getLogger(Test.class);
logger.error("xxx method is error",e);
logger.info("xxx method is executing");
就会出现以上的弱点。
或是使用request.getSession().setAttribute("test",testStr)，也会跳出
trust boundary violation弱点。

作者: jej (æ™ƒå¥¶å¤§é¦¬æ¡¶) 2020-08-19 18:49:00

可以查看recommend,. 可以看到很无言的原因和无奈的解法

作者: swpoker (swpoker) 2020-08-23 05:30:00

其实可以绕过去喔

作者: tw11509 (John-117) 2020-08-26 08:53:00

有些就算照着改还是会被扫出来，毕竟是静态扫描，麻烦的是有些公司不允许看到任何弱点ＸＤ

继续阅读

[问题] Kotlin的热潮几乎已经全部过去了？dharma [问题] 根据Service结果决定接下来的行为Dong0129 [问题] 关于private的继承问题awpadam [问题] 使用JPA配置oracle JDBC driver，跳出Coulueichun ［出售］巨匠Java考试券eraserx [问题] Sleep结束后没有继续执行Dong0129 [征书] OCAJP/OCPJP 曾瑞君and猛虎系列JuiceBro [问题] 明明有进入程式里的方法，页面却跳出404lueichun [问题] 一题跟变量初始化有关的问题awpadam [问题] Hibernate executeUpdate的问题lueichun