1
以下のコードは、「プライバシー侵害」カテゴリの脆弱性の問題として強化されています。Fortifyプライバシー違反の問題
sbfOut.append(" validateSSN(document.form1." + name
+ ",\" \",\" \")' " + override + "; >");
out.println(sbfOut.toString());
} // SN end
else if (fieldType.equals(CoConstants.DE_ELEMENT_TYPE_TN
私は、以下のコードブロックが「プライバシー違反」カテゴリの脆弱性の問題であると特定しました。
sbfOut.append(" <OPTION VALUE='0'>-NO DATA-</OPTION>");
try {
out.println(sbfOut.toString());
} catch (IOException ioe) {
debug("Exception In coCustomTag" + ioe
これを修正する方法と正確に問題がどこにあるかわかりません。 正確なメッセージfortifyは次のように指定しています。CoCustomTag.javaのmethodName()メソッドは、機密情報を誤って処理するため、ユーザーのプライバシーを侵害することがあります。 中括弧を無視してください。ここでは、fortifyによって識別されたコードの部分だけを示しています。
私は推測しなければならないでしょうが、名前などのログデータを何時でもやりますか?私は要塞化しているのではないが、「プライバシー違反」は、名前などの個人データをログファイルなどのより永続的なストレージに書き込むことを示唆しているようだ。 – Thomas
@Thomas here out.println(sbfOut.toString());両方の部分に存在し、outは "JSPWriter"タイプです –