3

我是使用 Checkmarx 工具的新手,通常只检查代码中的安全漏洞。我有一个应该从输入流中读取的方法。该方法有效,但是我收到 XXE 和 SSRF 错误。

 public static String getStringFromInputStream(InputStream is) {
    BufferedReader br = null;
    StringBuilder sb = new StringBuilder();
    String line;
    try {
        br = new BufferedReader(new InputStreamReader(is));
        while ((line = br.readLine()) != null) {
            sb.append(Normalizer.normalize(line, Normalizer.Form.NFD));
        }

    } catch (IOException e) {
        LOG.error(
                "********************",
                e);
    } finally {
        if (br != null) {
            try {
                br.close();
            } catch (IOException e) {
                LOG.error(
                        ******************,
                        e);
            }
        }
    }
    return sb.toString();
}
4

0 回答 0