强化肯定错误的Sql注入
我正在使用fortify扫描一个项目,我发现Sql注入有一些肯定的错误。实际上,我有一个动态查询"select * from " + tabelName,我创建了一个函数来清理tableName变量,如下所述http://bigsec.net/b52/Fortify/rules-schema/References/Custom%20Rule%20Examples.htm
但是fortify在分析报告中仍然显示了肯定的虚假sql注入。
我使用的是java 8 fortify 16
谢谢,
回答 1
Stack Overflow用户
发布于 2018-02-23 13:25:41
您应该确保您已经检查了您的例程,并且它对于SQL注入是安全的(例如,通过引号和字符白名单)。完成后,您需要告诉Fortify这是SQL注入的验证例程。这将确保不会报告与此例程正确验证的任何跟踪。
您应该将白名单例程注册为验证例程,方法是通过添加污点标志taintFlag="VALIDATED_SQL_INJECTION“的验证/清理规则,通过规则编辑器添加自定义规则- SQL注入的接收器规则不应报告此污点的问题。
有关使用污点标志的更多信息,请参见https://community.softwaregrp.com/dcvta86296/attachments/dcvta86296/fortify-discussions/2950/1/HP_Fortify_SCA_Custom_Rules_Guide_4.21.pdf
https://stackoverflow.com/questions/48934803
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号