Question

Как решить эту проблему с внедрением кода для class.forname в Java. Во время сканирования контрольной пометки я столкнулся с этой проблемой, ниже приведен пример кода


StringBuffer xml = new StringBuffer

xml.append("<?xml version=\ "1.0\"encoding=\"utf-8\" ?>");

xml.append("<Response>");

try{
    String strpath = request.getParameter("myclass");

    If(strpath!= null){
        xml.append("<Message>"+strpath+"</Message>");

        Class cls = Class.forName(strpath);

        strpath = getLocation(cls);

        xml.append("<Path>"+strpath+"</Path>");
    }

}

catch(Exception err){

    strpath = err.getMessage();

}

SPoint · Answer 1 · 06 февраля 2020

Для Checkmarx вы непосредственно назначаете параметр в строку «strpath без его сатинизации». Перед использованием необходимо проверить строку «strpath», и Checkmarx не увидит никакого внедрения кода

Ошибка внедрения кода для class.forname в Java во время сканирования Checkmarx

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Ошибка внедрения кода для class.forname в Java во время сканирования Checkmarx

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы