如何修复 Java Web 应用程序中通过已发送数据的信息暴露漏洞

Posted

技术标签:

【中文标题】如何修复 Java Web 应用程序中通过已发送数据的信息暴露漏洞【英文标题】:How to fix Information Exposure Through Sent Data flaw in Java Web application 【发布时间】:2013-02-06 15:05:38 【问题描述】:

我通过Sent Data 漏洞获得了一个 Veracode Information Exposure。我的代码是:

String companyName = System.getProperty(EPMIConstants.COMPANY_NAME);

System.getProperty(EPMIConstants.COMPANY_NAME) 从服务器本身硬编码的 JVM 参数中获取其值。

变量companyName 导致了这个缺陷。

谁能告诉我如何避免这个缺陷?

【问题讨论】:

【参考方案1】:

我建议您在 Veracode 中创建一个规则例外,这样误报就不会再突出显示。

法比奥

【讨论】:

此问题现已解决。能否请您告诉我如何解决封装(信任边界违规)缺陷?【参考方案2】:

看看这个:

http://cwe.mitre.org/data/definitions/201.html

看起来这可能是误报。

法比奥 @fcerullo

【讨论】:

感谢您的回复,但我已经完成了与此相关的所有理论部分。无论我在互联网上搜索哪里,我都只有理论。没有实际执行。请有人帮忙解决这个问题。

以上是关于如何修复 Java Web 应用程序中通过已发送数据的信息暴露漏洞的主要内容,如果未能解决你的问题,请参考以下文章

在java中通过TCP发送数据记录

如何在java中通过UDP发送一个int

如何在java中通过SFTP传输文件? [复制]

如何在 Python 中通过 HTTP 提供来自 UDP 流的数据?

如何修复 webAPI 中不正确的操作路由

如何修复 Java Web 应用程序中 JSP 重定向中的 HTTPS-HTTP 混合内容错误