Checkmarx ツールを使用するのは初めてで、一般的なコードのセキュリティ上の欠陥をチェックするだけです。入力ストリームから読み取るメソッドがあります。メソッドは機能しますが、XXE および SSRF エラーが発生します。
public static String getStringFromInputStream(InputStream is) {
BufferedReader br = null;
StringBuilder sb = new StringBuilder();
String line;
try {
br = new BufferedReader(new InputStreamReader(is));
while ((line = br.readLine()) != null) {
sb.append(Normalizer.normalize(line, Normalizer.Form.NFD));
}
} catch (IOException e) {
LOG.error(
"********************",
e);
} finally {
if (br != null) {
try {
br.close();
} catch (IOException e) {
LOG.error(
******************,
e);
}
}
}
return sb.toString();
}