上图是扫描的结果,提示我们是URL的问题,虽然大概知道是URL出问题了,但是怎么去解决这个URL还是一头雾水

下图是出错的请求方法,这里是调用第三方的接口一个Http的工具类,就不贴整个代码了,理解理解。

上面两张图中第一张图是拼接好请求路径然后封装一下传递给第二张图执行http的请求,出错的原因就是第一步,URL的字符串拼接。为啥被扫描出安全问题呢?我个人的理解就是,手动字符串的拼接会导致很多意想不到的问题,工具扫描毕竟没有那么智能,但是至少能识别出来你一大堆的无用操作。

下图附加一张解决参数拼接的问题

请尽量使用工具包提供的方法来玩耍,不要手写一堆无用的方法来增加意料不及的惊喜。

不要问我为什么判断map不用CollectionUtils工具方法,因为这个代码也不是我写的。哈哈哈

Vera code 扫描问题及解决办法前言 CWE -93: Improper Neutralization of CRLF Sequences ('CRLF Injection') CWE - 918 : Server-Side Request For gery ( SSR F) 关于 CWE 问题,有许多都可以通过ESAPI来解决, ESAPI使用方式见链接:ESAPI配置 CWE -93: Improper Neutralization of CRLF Sequences (‘CRLF Injection’) 场景:在编写
目录前言一、什么是 SSR F?二、 SSR F攻击有什么影响?常见的 SSR F攻击针对服务器本身的 SSR F攻击针对其他后端系统的 SSR F攻击规避 SSR F的常见防御措施具有基于黑名单的输入过滤器的 SSR F具有基于白名单的输入过滤器的 SSR F通过开放重定向绕过 SSR F过滤器查找 SSR F漏洞的隐藏攻击面请求中的部分URL数据格式内的URL通过Referer标头的 SSR F 我们将解释什么是服务器端请求伪造,描述一些常见示例,并解释如何查找和利用各种 SSR F漏洞。 一、什么是 SSR F? 服务器端请求伪造(也称为SS
CWE 通用缺陷对照表记录 CWE -1 : Location CWE -113 : Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’) CWE -116 : Improper Encoding or Escaping of Output CWE -118 : Improper Access of Indexable Resource (‘Range Error’) CWE -119 : Buffer
文章目录1. 问题描述2. 问题场景2.1 函数详解2.1.1 URL2.1.2 URLConnection2.1.3 HttpURLConnection2.2 可能存在漏洞的点2.2.1 HttpURLConnection2.2.2 URLConnection2.2.2.1 使用 file 协议2.2.2.2 使用 netdoc 协议2.2.2.3 使用 jar 协议2.2.2.4 jar+http2.2.3 ImageIO2.2.4 HttpClients2.2.5 OkHttpClient 1. 问题