[問題] 使用fortify掃瞄出system information le lueichun PTT批踢踢實業坊

[問題] 使用fortify掃瞄出system information le

作者: lueichun (no anonymous) 2020-08-19 18:14:12

我最近開始學習使用fortify來掃描程式的弱點，
其中掃描到一個弱點是system information leak internal
是出現在使用apache.log4j.Logger的地方，只要用到
private final static Logger logger = Logger.getLogger(Test.class);
logger.error("xxx method is error",e);
logger.info("xxx method is executing");
就會出現以上的弱點。
或是使用request.getSession().setAttribute("test",testStr)，也會跳出
trust boundary violation弱點。

作者: jej (æ™ƒå¥¶å¤§é¦¬æ¡¶) 2020-08-19 18:49:00

可以查看recommend,. 可以看到很無言的原因和無奈的解法

作者: swpoker (swpoker) 2020-08-23 05:30:00

其實可以繞過去喔

作者: tw11509 (John-117) 2020-08-26 08:53:00

有些就算照著改還是會被掃出來，畢竟是靜態掃描，麻煩的是有些公司不允許看到任何弱點ＸＤ

繼續閱讀

[問題] Kotlin的熱潮幾乎已經全部過去了？dharma [問題] 根據Service結果決定接下來的行為Dong0129 [問題] 關於private的繼承問題awpadam [問題] 使用JPA配置oracle JDBC driver，跳出Coulueichun ［出售］巨匠Java考試券eraserx [問題] Sleep結束後沒有繼續執行Dong0129 [徵書] OCAJP/OCPJP 曾瑞君and猛虎系列JuiceBro [問題] 明明有進入程式裡的方法，頁面卻跳出404lueichun [問題] 一題跟變數初始化有關的問題awpadam [問題] Hibernate executeUpdate的問題lueichun