PTT數位生活區 / java

[問題] 使用fortify掃瞄出system information le

看板java作者 (= =)時間4年前 (2020/08/19 18:14), 編輯推噓1(103)
留言4則, 3人參與, 4年前最新討論串1/1
我最近開始學習使用fortify來掃描程式的弱點, 其中掃描到一個弱點是system information leak internal 是出現在使用apache.log4j.Logger的地方,只要用到 private final static Logger logger = Logger.getLogger(Test.class); logger.error("xxx method is error",e); logger.info("xxx method is executing"); 就會出現以上的弱點。 或是使用request.getSession().setAttribute("test",testStr),也會跳出 trust boundary violation弱點。 ------------------------------------ 這些看起來都是很平常的寫法,所以我也想不到可以怎麼修改,有人可以提供建議嗎? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.216.21.126 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/java/M.1597832054.A.3F8.html
08/19 18:49, 4年前 , 1F
可以查看recommend,. 可以看到很無言的原因 和無奈的解法
08/19 18:49, 1F
08/23 05:30, 4年前 , 2F
其實可以繞過去喔
08/23 05:30, 2F
08/26 08:53, 4年前 , 3F
有些就算照著改還是會被掃出來,畢竟是靜態掃描,麻煩的
08/26 08:53, 3F
08/26 08:53, 4年前 , 4F
是有些公司不允許看到任何弱點XD
08/26 08:53, 4F
更多 lueichun 的文章
文章代碼(AID): #1VFFjsFu (java)
java 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 lueichun 的文章
文章代碼(AID): #1VFFjsFu (java)