Checkmarx 扫描期间 Java 中 class.forname 的代码注入问题
[英]Code injection issue for class.forname in Java during Checkmarx scan
问题描述
How to resolve this code injection issue for class.forname in Java.
如何解决 Java 中 class.forname 的此代码注入问题。 During checkmarx scan I am facing this code injection issue, below is the sample code snippet在 checkmarx 扫描期间,我面临这个代码注入问题,下面是示例代码片段
StringBuffer xml = new StringBuffer
xml.append("<?xml version=\ "1.0\"encoding=\"utf-8\" ?>");
xml.append("<Response>");
try{
String strpath = request.getParameter("myclass");
If(strpath!= null){
xml.append("<Message>"+strpath+"</Message>");
Class cls = Class.forName(strpath);
strpath = getLocation(cls);
xml.append("<Path>"+strpath+"</Path>");
}
}
catch(Exception err){
strpath = err.getMessage();
}
1 个解决方案
解决方案1
0 2020-02-06 14:46:13
对于Checkmarx,直接给字符串“strpath”赋值,无需对其进行圣化,使用前需要验证字符串“strpath”,Checkmarx不会看到任何代码注入
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Java中Class.forName的安全性 - Safety of Class.forName in java
Java Class.forName 失败 - Java Class.forName failing
如何在Java代码中测试Class.forName调用? - How to test a Class.forName call in Java code?
使用Eclipse IDE在Java代码中使用Class.forName的问题 - Issues with Class.forName in Java code using Eclipse IDE
Java Applet不使用Jaybird执行class.forName() - Java Applet not executing class.forName() with jaybird
远程目录中的Java Class.forName() - Java Class.forName() from distant directory
在 Java 仪表代理中使用 Class.forName() - Using Class.forName() in Java Instrumentation Agent
java中import和class.forName之间的区别 - Difference Between import and class.forName in java
Java Class.forName()方法停顿然后退出 - Java Class.forName() method stalling and then exits
Java反映Class.forName失败 - Java reflect Class.forName failure
相关标签