以下代码正在被强化为“隐私侵犯”类别的漏洞问题。Fortify隐私违规问题
sbfOut.append(" validateSSN(document.form1." + name
+ ",\" \",\" \")' " + override + "; >");
out.println(sbfOut.toString());
} // SN end
else if (fieldType.equals(CoConstants.DE_ELEMENT_TYPE_TN
在另一种方法中,我强化了将下面的代码块标识为“隐私违规”类别的漏洞问题。
sbfOut.append(" <OPTION VALUE='0'>-NO DATA-</OPTION>");
try {
out.println(sbfOut.toString());
} catch (IOException ioe) {
debug("Exception In coCustomTag" + ioe
我无法弄清楚如何解决这个问题以及问题的具体位置。 确切的消息强化给出:CoCustomTag.java中methodName()方法处理机密信息时可能会损害用户隐私,并且通常是非法的。 请忽略开放的大括号和全部,因为我只在这里提供了由fortify标识的部分代码。
我不得不猜测,但你是否有机会记录数据,如姓名等?我不知道强化,但“隐私侵犯”似乎暗示将个人数据(如姓名)写入更加永久的存储(如日志文件)。 – Thomas
@Thomas here out.println(sbfOut.toString());是出现在这两个部分,出了类型“JSPWriter” –