繁体 English 中英

加强积极的错误SQL注入

[英]fortify positive false Sql injection

原文 2018-02-22 18:30:24 5 1 java/ fortify

我正在使用fortify扫描一个项目，发现对Sql注入有一些肯定的错误。 实际上，我有一个动态查询"select * from " + tabelName我创建了一个函数来清理tableName变量，如此处所述http://bigsec.net/b52/Fortify/rules-schema/References/Custom%20Rule%20Examples .htm

但是fortify在分析报告中仍然显示肯定的错误sql注入。

我正在使用Java 8强化16

谢谢，

1 个解决方案

您应该确保已检查例程，并且该例程对于SQL注入是安全的（例如，通过引号和字符白名单）。 完成后，您需要告诉Fortify这是SQL注入的验证例程。 这将确保不报告使用此例程正确验证的任何跟踪。

您应该通过以下方式将白名单例程注册为验证例程：通过规则编辑器通过添加了taintFlag =“ VALIDATED_SQL_INJECTION”污点标志的验证/清除规则，通过规则编辑器添加自定义规则-SQL注入的接收器规则不应再报告与此相关的问题污点。

有关使用污染标记的更多信息，请参见https://community.softwaregrp.com/dcvta86296/attachments/dcvta86296/fortify-discussions/2950/1/HP_Fortify_SCA_Custom_Rules_Guide_4.21.pdf

SonarQube 误报 SQL 注入

[英]SonarQube false positive SQL injection

Java Veracode 扫描 - SQL 注入的误报

[英]Java Veracode Scan - False Positive on SQL Injection

查找安全错误-真正的SQL注入还是误报？

[英]Find Security Bugs - Real SQL injection or false positive?

如何避免 Fortify 中的误报“Null Dereference”错误

[英]How to avoid false positive “Null Dereference” error in Fortify

HP Fortify误报硬编码密码 - Java

[英]HP Fortify false positive Hard Coded Password - Java

HP Fortify SQL注入关于Java中prepareStatement的问题

[英]HP Fortify SQL injection issue on preparedStatement in java

强化问题-命令注入

[英]Fortify issue - Command Injection

强化：资源注入

[英]Fortify : Resource Injection

强化 Java 中 JSON 注入的错误

[英]Fortify error on JSON Injection in Java

强化JSON注入问题修复

[英]fortify json injection issue fix

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 SonarQube 误报 SQL 注入 Java Veracode 扫描 - SQL 注入的误报查找安全错误-真正的SQL注入还是误报？如何避免 Fortify 中的误报“Null Dereference”错误 HP Fortify误报硬编码密码 - Java HP Fortify SQL注入关于Java中prepareStatement的问题强化问题-命令注入强化：资源注入强化 Java 中 JSON 注入的错误强化JSON注入问题修复

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM