1

我们正在使用 Fortify 进行静态代码分析。Fortify 扫描报告的问题之一是“经常被误用:身份验证”。对于“java.net.InetAddress”类中以下方法之一的所有使用情况,都会标记该问题。

getAddress()
getByName(bindAddress)
getHostName()
getHostAddress()
getCanonicalHostName()
getLocalHost()
getAllByName()

什么是相同的理想解决方案?

这里建议了一种可能的方法,我不确定我们是否有其他方法来解决这个问题。

谢谢

4

1 回答 1

1

该漏洞实际上只是警告您作为开发人员不要信任这些输出。确定服务器是否与他们所说的一样的一种有效方法是使用 SSL。听起来您的应用程序只是获取服务器列表并将身份验证请求转发给它们。如果用户随后通过 SSL 连接以对机器进行身份验证,则可能不会有问题(只要自签名证书不允许连接)

于 2014-01-07T15:43:34.993 回答