当前位置: 首页 > 工具软件 > fortify > 使用案例 >

fortify漏洞修复笔记

戚升
2023-12-01

1.insecure randomness 不安全随机数

解决方法:使用SecureRandom sr = new SecureRandom() 替换Random sr = new Random()

2.Access Specifier Manipulation 漏洞成因:field.setAccessible(true)  ,AccessibleObject允许程序员绕过由java说明符提供的access control检查。并反过来更改私有字段或调用私有方法、行为。

解决方法:使用org.springframework.util.ReflectionUtils 的 makeAccessible 方法来更改属性的访问修饰符。ReflectionUtils.makeAccessible(field);

3.新建工具类,封装jar包,解决扫描问题,针对不好改的。

4.Privacy Violation: Heap Inspection 隐私泄露

解决方法 使用stringbuffer

5.unreleased resource streams 未释放资源

解决方法 我遇到的是getresourceasstream,在finally释放资源

 类似资料: