[問題] 使用fortify掃瞄出system information le
我最近開始學習使用fortify來掃描程式的弱點,
其中掃描到一個弱點是system information leak internal
是出現在使用apache.log4j.Logger的地方,只要用到
private final static Logger logger = Logger.getLogger(Test.class);
logger.error("xxx method is error",e);
logger.info("xxx method is executing");
就會出現以上的弱點。
或是使用request.getSession().setAttribute("test",testStr),也會跳出
trust boundary violation弱點。
------------------------------------
這些看起來都是很平常的寫法,所以我也想不到可以怎麼修改,有人可以提供建議嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.216.21.126 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/java/M.1597832054.A.3F8.html
→
08/19 18:49,
3年前
, 1F
08/19 18:49, 1F
推
08/23 05:30,
3年前
, 2F
08/23 05:30, 2F
→
08/26 08:53,
3年前
, 3F
08/26 08:53, 3F
→
08/26 08:53,
3年前
, 4F
08/26 08:53, 4F