Display 重复了,删除掉一个。[](()16.Unexpected unknown type selector “element”空样式,直接删除掉。[](()17. Change this condition so that it does not always evaluate to “false”(更改此条件,以便它不总是评估为“false")这是很多webservice文件中出现的一个bug。 如果后期会对webservice文件过滤,这个就可以不管了。不过也可以把这行删除掉,o.
Display 重复了,删除掉一个。
[](()16.Unexpected unknown type selector “element”
空样式,直接删除掉。
[](()17. Change this condition so that it does not always evaluate to “false”
(更改此条件,以便它不总是评估为“false")
这是很多webservice文件中出现的一个bug。 如果后期会对webservice文件过滤,这个就可以不管了。不过也可以把这行删除掉,obj不可能为null if (obj == null) return false; 这样这个bug也没有了。
[](()二 漏洞
[](()1.Use a logger to log this exception
这种提示就是异常应该用日志打印出来。
[](()2.‘password’ detected in this expression, review this potentially hard-coded credential
提示密码不能直接这样传递,不安全。但是也没有提供参考的案例。所以我是这样的改的,也能消除漏洞。如下图:
[](()3.Make areaList a static final constant or non-public and provide accessors if needed
类变量字段不应具有公共可访问性。所以把public访问修饰符,改成其他的修饰符,最好是private.
[](()4.Secure this “Transformer” by either disabling external DTDs or enabling secure processing.
提示应该保护XML变换器。创建javax.xml.transform.Transformer但未启用“安全处理”或创建一个而不禁用外部DTD时,可能会发生XML外部实体或XSLT外部实体(XXE)漏洞。 如果该外部实体被攻击者劫持,则可能导致机密数据泄露,拒绝服务,服务器端请求伪造,从解析器所在机器的角度进行端口扫描,以及其他系统影响。
进行修改如下可以消除漏洞:
最低0.47元/天 解锁文章
2510
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
