은 어떻게 Findbugs은 "보안 버그를 찾기"플러그인을 사용하고

을 "보안 버그를 찾기"Findbugs은 "더러운"를 제거합니다.은 어떻게 Findbugs은 "보안 버그를 찾기"플러그인을 사용하고

"taint"값을 제거하는 방법에 대한 문서가 있습니까?

나는 자신의 사이트에 대한 문서를 찾을 수 없으며, 나는 그들의 소스 코드 주위에 파고있다 그것을 알아낼 수 없습니다 :

공구 같은 코드에서 가능한 주입 버그들을 식별되고

import javax.ws.rs.core.Response; 
import org.apache.http.client.methods.HttpGet; 

public Response get(String x, String y) throws IOException { 

    String url = String.format("%s/%s", 
      x, 
      y); 

    HttpGet request = new HttpGet(url); // HERE 

    ... 
}

나는 내 만족이 버그를 해결했습니다 :

import javax.ws.rs.core.Response; 
import org.apache.http.client.methods.HttpGet; 
import static com.google.common.net.UrlEscapers.urlPathSegmentEscaper; 

public Response get(String x, String y) throws IOException { 

    String url = String.format("%s/%s", 
      urlPathSegmentEscaper().escape(x), 
      urlPathSegmentEscaper().escape(y)); 

    HttpGet request = new HttpGet(url); 

    ... 
}

...하지만 도구는 여전히 가능한 버그를 신고있다. 나는 그것이 "com.google.common.net.UrlEscapers.urlPathSegmentEscaper()"을 Taint를 제거하는 것으로 여기에서 인식하지 못하기 때문이라고 믿습니다.

어떻게 다른 방식으로 설득 할 수 있습니까? 내가 할 수 없다면 도구에서 인식 할 수있는 소독 기술은 무엇입니까?

출처

2017-10-04 Rich

은 어떻게 Findbugs은 "보안 버그를 찾기"플러그인을 사용하고

답변

관련 문제