来自 findbugs-sec-plugin 的误报 Spring LDAP

Posted

技术标签:

【中文标题】来自 findbugs-sec-plugin 的误报 Spring LDAP【英文标题】:False positive Spring LDAP from findbugs-sec-plugin 【发布时间】:2020-08-30 19:22:38 【问题描述】:

它似乎没有考虑到Filter.toString/encode 实际上可以正确编码 LDAP 过滤器。所以如果我有类似的标志

Filter filter = blahblah;
ldapTemplate.search("", filter.toString());

它会在不应该的地方标记此代码易受 LDAP 注入攻击。

如何让 findsec-bugs-plugin 不将这种用法标记为问题?

【问题讨论】:

请分享 Spotbugs 报告。 【参考方案1】:

这一切都取决于 Filter 类的实现。 Find-Security-Bugs 还不知道该类。如果它正确地转义了潜在的输入,我们可以轻松地将Filter.toString() 标记为安全。是the class from UnboundID吗。

请open a ticket on the issue tracker on Find-Security-Bugs。

【讨论】:

以上是关于来自 findbugs-sec-plugin 的误报 Spring LDAP的主要内容,如果未能解决你的问题,请参考以下文章

“每个窗口的误报”的含义

如何修复线性 SVM 的误报率?

如何训练isolationForest模型以给出最少的误报数?

GooglePlay 对 AdMob 检测的误报

使用闪回功能快速恢复用户的误操作

是 cppcheck 的误报 containerOutOfBoundsIndexExpression 错误吗?