在 ZipOutputStream.write() 方法中强化隐私违规

Posted

技术标签:

【中文标题】在 ZipOutputStream.write() 方法中强化隐私违规【英文标题】:Fortify Privacy Violation in ZipOutputStream.write() method 【发布时间】:2020-07-28 15:05:19 【问题描述】:

在 Fortify 代码扫描中,我们在下面的 Java 代码中存在隐私侵犯,它将 byte[] 转换为 ZipOutputStream,然后再转换为另一个 byte[]。确切的汇线是 zos.write(arr);

private byte[] zipFile(String filename, byte[] arr) throws UnableToZipException, IOException 
    try (ByteArrayOutputStream baos = new ByteArrayOutputStream();
            ZipOutputStream zos = new ZipOutputStream(baos)) 
        ZipEntry entry = new ZipEntry(filename);
        entry.setSize(arr.length);
        zos.putNextEntry(entry);
        zos.write(arr);
        zos.closeEntry();
        zos.close();
        return baos.toByteArray();
     catch (Exception e) 
        e.printStackTrace();

这是有效违规还是误报?我没有将ZipOutputStream 写入本地目录。如果是有效的隐私侵犯,如何解决?

【问题讨论】:

【参考方案1】:

您不应该孤立地查看此代码。 Fortify 扫描还将提供有关数据从何处进入此方法的详细信息。您需要弄清楚 arr 参数传递给此方法的值是什么。如果传递的值是私人信息,那么它将显示为侵犯隐私。

【讨论】:

该阵列与加密阵列交战。所以这个问题原来是误报!

以上是关于在 ZipOutputStream.write() 方法中强化隐私违规的主要内容,如果未能解决你的问题,请参考以下文章

分配的变量引用在哪里,在堆栈中还是在堆中?

NOIP 2015 & SDOI 2016 Round1 & CTSC 2016 & SDOI2016 Round2游记

秋的潇洒在啥?在啥在啥?

上传的数据在云端的怎么查看,保存在啥位置?

在 React 应用程序中在哪里转换数据 - 在 Express 中还是在前端使用 React?

存储在 plist 中的数据在模拟器中有效,但在设备中无效