堆棧內存溢出
  簡體   English   中英

使用 java.io.File.createTempFile 時 Veracode 不安全臨時文件錯誤

[英]Veracode Insecure Temporary File error when using java.io.File.createTempFile

 原文  2015-07-07 01:40:46       java/ file/ security/ veracode/ secure-coding

問題描述

我需要創建一個臨時文件並將一些數據存儲到其中。 為此,我編寫了以下代碼:

import org.apache.commons.lang.RandomStringUtils;
import java.security.SecureRandom;

[...]

String random = RandomStringUtils.random(10, 0, 0, true, true, null, new SecureRandom());
File tempFile = File.createTempFile("PREFIX-" + random, ".pdf");

[...]

它確實工作得很好,但是當我將此代碼提交給Veracode 時,出現“不安全的臨時文件(CWE ID 377)”錯誤。 我認為使用SecureRandom會使臨時文件名無法被攻擊者預測。

在不使 Veracode 不滿意的情況下生成臨時文件的正確方法是什么?

2 個解決方案

解決方案1
 2  2017-04-10 10:37:57

使用 CreateTemp 文件(在較低版本的 java 中)創建文件時,它將首先創建一個具有給定后綴和前綴以及隨機數的文件名。 格式-->前綴+隨機數+后綴。 如果生成的名稱已經存在,它只會增加隨機數。 這里出現了算法中的問題,其中 v 可以猜測下一個文件名是什么。

該問題已在 Java 6 中解決。但如果您在 veracode 中進行靜態掃描,它們仍會將其顯示為錯誤,因為它們會導致 Java 版本低於 6 的易受攻擊的問題。如果您使用更高版本,則沒問題。 跳過它..

來自veracode的參考: https ://www.veracode.com/blog/2009/01/how-boring-flaws-become-interesting

解決方案2
 0  2017-01-18 03:37:38

我認為該問題已在 Java 6 Update 11 版本中解決。 使用最新版本的 Java。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 在Java中使用utils創建臨時文件,而不使用:java.io.File.createTempFile() 為什么在Citrix上第一次調用java.io.File.createTempFile(String,String,File)需要5秒鍾? File.createTempFile(錯誤:java.io.IOException:沒有這樣的文件或目錄) Java 中的 File.createTempFile 出現不兼容的類型錯誤 Multipart transferTo 在使用 createTempFile 時查找錯誤的文件地址 File.createTempFile()上使用Files.copy()時FilesAlreadyExistsException Java File.createTempFile()拋出NullPointerException File.createTempFile 的替代方案? 使用File.createTempFile()創建新文件時的負整數 使用java.io.File時發生NullPointerException
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM