[英]fortify positive false Sql injection
我正在使用fortify扫描一个项目,发现对Sql注入有一些肯定的错误。 实际上,我有一个动态查询"select * from " + tabelName
我创建了一个函数来清理tableName变量,如此处所述http://bigsec.net/b52/Fortify/rules-schema/References/Custom%20Rule%20Examples .htm
但是fortify在分析报告中仍然显示肯定的错误sql注入。
我正在使用Java 8强化16
谢谢,
您应该确保已检查例程,并且该例程对于SQL注入是安全的(例如,通过引号和字符白名单)。 完成后,您需要告诉Fortify这是SQL注入的验证例程。 这将确保不报告使用此例程正确验证的任何跟踪。
您应该通过以下方式将白名单例程注册为验证例程:通过规则编辑器通过添加了taintFlag =“ VALIDATED_SQL_INJECTION”污点标志的验证/清除规则,通过规则编辑器添加自定义规则-SQL注入的接收器规则不应再报告与此相关的问题污点。
有关使用污染标记的更多信息,请参见https://community.softwaregrp.com/dcvta86296/attachments/dcvta86296/fortify-discussions/2950/1/HP_Fortify_SCA_Custom_Rules_Guide_4.21.pdf
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.