Stack Overflow フォーラムは初めてです。fortify スキャンの問題の修正について質問があります。
HP Fortify スキャンで、次のコードのリソース インジェクションの問題が報告されました。
String testUrl = "http://google.com";
URL url = null;
try {
url = new URL(testUrl);
} catch (MalformedURLException mue) {
log.error("MalformedUrlException URL " + testUrl + " Exception : " + mue);
}
上記のコードでは、行 => url = new URL(testUrl);でリソース注入を表示することを強化します。
この問題を修正するために、ESAPI を使用して URL 検証のコードを次のように変更しました。
String testUrl = "http://google.com";
URL url = null;
try {
String canonURL = ESAPI.encoder().canonicalize(strurl, false, false);
if(ESAPI.validator().isValidInput("URLContext", canonURL, "URL", canonURL.length(), false)) {
url = new URL(canonURL);
} else {
log.error("In Valid script URL passed"+ canonURL);
}
} catch (MalformedURLException mue) {
log.error("MalformedUrlException URL " + canonURL + " Exception : " + mue);
}
ただし、それでも Fortify スキャン レポートはエラーとして報告されます。この問題は修正されていません。何か間違っていますか?
どんな解決策も大いに役立ちます。
ありがとう、
マリムトゥM