使用 SonarLint 插件和 SonarQube 服务器未检测到 HTTP 请求重定向漏洞

Posted 2023-03-16

【中文标题】使用 SonarLint 插件和 SonarQube 服务器未检测到 HTTP 请求重定向漏洞

【英文标题】：HTTP request redirections vulnerability does not detect with SonarLint plugin and SonarQube server

【发布时间】：2021-03-12 02:05:27

【问题描述】：

一旦我们使用 sonarCube 和 SonarLint eclipse 插件进行静态代码分析，它们都无法检测到以下代码段中的漏洞。但这已被定义为声纳网站规则下的漏洞。

protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException 
  String location = req.getParameter("url");
  resp.sendRedirect(location); // Noncompliant

参考 https://rules.sonarsource.com/java/RSPEC-5146

【参考方案1】：

此规则以及其他与安全相关的规则适用于 SonarQube 开发者版及更高版本。

参考SonarSource CommunityJean-Baptiste中问题的答案