fortify扫面项目会出现的问题

做自己的女王ヽ

近期,公司用fortify扫描项目,出现了很多的安全性问题,由于之前也没有接触过,网上的资料又比较少,一时间很是
棘手,今天算是全部弄完了,顺便总结一下,也让其他人借鉴一下,少走些弯路.

1  Unreleased Resource: Streams
原因:出现这个漏洞的原因就是有时候流没有关闭,比如说创建流和关闭流之间,如果这段代码出现问题抛出异常
则会没有关闭

方案:把关闭流的代码放入(try catch )finally中,即使出现异常也会关闭.



2. Cross Site Scripting

原因:这个就很多了,包括sql注入,也有可能是java向js中传参等原因,这里只介绍向js中传参

方法:StringEscapeUtils工具类,他有escapeJava();escapeJavaScript();escapeXml();等多种方法对传入的参数进
行转义从而可以避免



3.path manipulation

原因:在拼接路径的时候可能会被加入../等字符,导致可以访问其他位置,对其他文件进行操作.

方法:1.替换..  replace("..","");

        2.白名单方法   下面是白名单方法(网上的一段,大家可以修改),如果路径中有其他字符也可以加进去,如果
把.加进去就必须做判断了,目的是把..过滤掉

         加replace("..","");

1. 
   
2. HashMap<String, String> map = new HashMap<String, String>();
   
3.   map.put("a", "a");
   
4.   map.put("b", "b");
   
5.   map.put("c", "c");
   
6.   map.put("d", "d");
   
7.   map.put("e", "e");
   
8.   map.put("f", "f");
   
9.   map.put("g", "g");
   
10.   map.put("h", "h");
    
11.   map.put("i", "i");
    
12.   map.put("j", "j");
    
13.   map.put("k", "k");
    
14.   map.put("l", "l");
    
15.   map.put("m", "m");
    
16.   map.put("n", "n");
    
17.   map.put("o", "o");
    
18.   map.put("p", "p");
    
19.   map.put("q", "q");
    
20.   map.put("r", "r");
    
21.   map.put("s", "s");
    
22.   map.put("t", "t");
    
23.   map.put("u", "u");
    
24.   map.put("v", "v");
    
25.   map.put("w", "w");
    
26.   map.put("x", "x");
    
27.   map.put("y", "y");
    
28.   map.put("z", "z");
    
29.   
    
30.   map.put("A", "A");
    
31.   map.put("B", "B");
    
32.   map.put("C", "C");
    
33.   map.put("D", "D");
    
34.   map.put("E", "E");
    
35.   map.put("F", "F");
    
36.   map.put("G", "G");
    
37.   map.put("H", "H");
    
38.   map.put("I", "I");
    
39.   map.put("J", "J");
    
40.   map.put("K", "K");
    
41.   map.put("L", "L");
    
42.   map.put("M", "M");
    
43.   map.put("N", "N");
    
44.   map.put("O", "O");
    
45.   map.put("P", "P");
    
46.   map.put("Q", "Q");
    
47.   map.put("R", "R");
    
48.   map.put("S", "S");
    
49.   map.put("T", "T");
    
50.   map.put("U", "U");
    
51.   map.put("V", "V");
    
52.   map.put("W", "W");
    
53.   map.put("X", "X");
    
54.   map.put("Y", "Y");
    
55.   map.put("Z", "Z");
    
56. 
    
57. 
    
58. map.put(":", ":");
    
59.      map.put("/", "/");
    
60.      map.put("\\", "\\");
    
61.   
    
62.   String temp = "";
    
63.   for (int i = 0; i < path.length(); i++) {
    
64. 
    
65.    if (map.get(path.charAt(i)+"")!=null) {
    
66.     temp += map.get(path.charAt(i)+"");
    
67.    }
    
68.   }
    
69.   path = temp;
    
70.   
    
71.   File proFile = new File(path);

复制代码

4.序列化问题
   这个最简单,相关类实现serializable接口就可以了