fortify扫面项目会出现的问题

近期,公司用fortify扫描项目,出现了很多的安全性问题,由于之前也没有接触过,网上的资料又比较少,一时间很是棘手,今天算是全部弄完了,顺便总结一下,也让其他人借鉴一下,少走些弯路.

1  Unreleased Resource: Streams

原因:出现这个漏洞的原因就是有时候流没有关闭,比如说创建流和关闭流之间,如果这段代码出现问题抛出异常则会没有关闭

方案:把关闭流的代码放入(try catch )finally中,即使出现异常也会关闭.

 

2. Cross Site Scripting

原因:这个就很多了,包括sql注入,也有可能是java向js中传参等原因,这里只介绍向js中传参

方法:StringEscapeUtils工具类,他有escapeJava();escapeJavaScript();escapeXml();等多种方法对传入的参数进行转义从而可以避免

 

3.path manipulation

原因:在拼接路径的时候可能会被加入../等字符,导致可以访问其他位置,对其他文件进行操作.

方法:1.替换..  replace("..","");

        2.白名单方法   下面是白名单方法(网上的一段,大家可以修改),如果路径中有其他字符也可以加进去,如果把.加进去就必须做判断了,目的是把..过滤掉

         加replace("..","");

 

           

HashMap map = new HashMap();
  map.put("a", "a");
  map.put("b", "b");
  map.put("c", "c");
  map.put("d", "d");
  map.put("e", "e");
  map.put("f", "f");
  map.put("g", "g");
  map.put("h", "h");
  map.put("i", "i");
  map.put("j", "j");
  map.put("k", "k");
  map.put("l", "l");
  map.put("m", "m");
  map.put("n", "n");
  map.put("o", "o");
  map.put("p", "p");
  map.put("q", "q");
  map.put("r", "r");
  map.put("s", "s");
  map.put("t", "t");
  map.put("u", "u");
  map.put("v", "v");
  map.put("w", "w");
  map.put("x", "x");
  map.put("y", "y");
  map.put("z", "z");
  
  map.put("A", "A");
  map.put("B", "B");
  map.put("C", "C");
  map.put("D", "D");
  map.put("E", "E");
  map.put("F", "F");
  map.put("G", "G");
  map.put("H", "H");
  map.put("I", "I");
  map.put("J", "J");
  map.put("K", "K");
  map.put("L", "L");
  map.put("M", "M");
  map.put("N", "N");
  map.put("O", "O");
  map.put("P", "P");
  map.put("Q", "Q");
  map.put("R", "R");
  map.put("S", "S");
  map.put("T", "T");
  map.put("U", "U");
  map.put("V", "V");
  map.put("W", "W");
  map.put("X", "X");
  map.put("Y", "Y");
  map.put("Z", "Z");


map.put(":", ":");
     map.put("/", "/");
     map.put("\\", "\\");
  
  String temp = "";
  for (int i = 0; i < path.length(); i++) {

   if (map.get(path.charAt(i)+"")!=null) {
    temp += map.get(path.charAt(i)+"");
   }
  }
  path = temp;
  
  File proFile = new File(path);

    

4.序列化问题

   这个最简单,相关类实现serializable接口就可以了

转载于:https://www.cnblogs.com/shaoyang/p/5766203.html

你可能感兴趣的:(fortify扫面项目会出现的问题)