看起来它没有考虑到Filter.toString/encode实际上可以正确编码 LDAP 过滤器。所以如果我有一个类似的标志
Filter filter = blahblah;
ldapTemplate.search("", filter.toString());
它会标记此代码在不应该的地方容易受到 LDAP 注入的影响。
如何使 findsec-bugs-plugin 不将这种用法标记为问题?
问问题
75 次
1 回答
1
这一切都取决于 Filter 类的实现。Find-Security-Bugs 还不知道该类。如果它正确地逃避了潜在的输入,我们可以很容易地将其标记Filter.toString()为安全。是UnboundID 的类吗?
于 2020-10-28T16:24:46.293 回答