以下代碼正在被強化爲「隱私侵犯」類別的漏洞問題。Fortify隱私違規問題
sbfOut.append(" validateSSN(document.form1." + name
+ ",\" \",\" \")' " + override + "; >");
out.println(sbfOut.toString());
} // SN end
else if (fieldType.equals(CoConstants.DE_ELEMENT_TYPE_TN
在另一種方法中,我強化了將下面的代碼塊標識爲「隱私違規」類別的漏洞問題。
sbfOut.append(" <OPTION VALUE='0'>-NO DATA-</OPTION>");
try {
out.println(sbfOut.toString());
} catch (IOException ioe) {
debug("Exception In coCustomTag" + ioe
我無法弄清楚如何解決這個問題以及問題的具體位置。 確切的消息強化給出:CoCustomTag.java中methodName()方法處理機密信息時可能會損害用戶隱私,並且通常是非法的。 請忽略開放的大括號和全部,因爲我只在這裏提供了由fortify標識的部分代碼。
我不得不猜測,但你是否有機會記錄數據,如姓名等?我不知道強化,但「隱私侵犯」似乎暗示將個人數據(如姓名)寫入更加永久的存儲(如日誌文件)。 – Thomas
@Thomas here out.println(sbfOut.toString());是出現在這兩個部分,出了類型「JSPWriter」 –