Ложноположительный Spring LDAP из findbugs-sec-plugin

Question

Ложноположительный Spring LDAP из findbugs-sec-plugin

Похоже не учитывает, что Filter.toString/encodeдействительно может правильно кодировать фильтр LDAP. Так что если у меня есть флаги вроде

Filter filter = blahblah;
ldapTemplate.search("", filter.toString());

он будет отмечать, что этот код уязвим для внедрения LDAP, хотя этого не должно быть.

Как мне сделать так, чтобы findsec-bugs-plugin не отмечал такое использование как проблему?

2

java spotbugs find-sec-bugs

Источник

user1093147 14 май '20 в 12:50

0 ответов

Другие вопросы по тегам java spotbugs find-sec-bugs

user89769 28 окт '20 в 19:24 2020-10-28 19:24 · Answer 1 · 2020-10-28 19:24

Все зависит от реализации класса Filter. Класс еще не известен Find-Security-Bugs. Если он правильно экранирует потенциальный ввод, мы можем легко отметить Filter.toString()как безопасно. Это класс из UnboundID.

Пожалуйста, откройте тикет в системе отслеживания проблем на Find-Security-Bugs.