fortify 扫描 Bean Manipulation 漏洞

WangXy_soft 2019-02-22 09:24:17
用fortify 扫描报如下漏洞,请教大神,这个该如何解决
Explanation
Bean 属性的名称和值在填充任何 bean 之前都需要进行验证。Bean 填充功能允许设置 bean 属性或嵌套属性。攻击者可以利用此功能访问特殊的 bean 属性,例如 class.classLoader,此属性将允许攻击者覆盖系统属性并可能会执行任何代码。
示例:下列代码将会设置用户控制的 bean 属性,而不会正确验证属性名称或值:
String prop = request.getParameter('prop');
String value = request.getParametehttps://bbs.csdn.net/topics/newr('value');
HashMap properties = new HashMap();
properties.put(prop, value);
BeanUtils.populate(user, properties);
Recommendation
防止 bean 操控的最佳方法是采用一些间接手段:例如创建一份合法属性名的列表,并且规定用户只能选择其中的文件名。通过这种方法,用户提供的输入就不能直接用来指定这些关键 bean 属性的详细信息了

上述红色字体是fortify 的说明,我的代码中凡是用到BeanUtils.populate方法的全部提示此漏洞,这个应该如何解决好?

...全文
719 1 打赏 收藏 转发到动态 举报
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
WangXy_soft 2019-02-25
  • 打赏
  • 举报
回复
自己顶下,没人清楚吗?

81,090

社区成员

发帖
与我相关
我的任务
社区描述
Java Web 开发
社区管理员
  • Web 开发社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧