-2

在我的 Spring Java 应用程序中,扫描工具显示拒绝服务漏洞:ReadLine forModelAttribute ("someFormBean")

      @RequestMapping(method = RequestMethod.POST)
      public String processForm(@Valid @ModelAttribute("someFormBean") MultipleForm form, /*Source*/
              BindingResult bindingResult, Model model, HttpServletRequest request) {
         return processForm(form, bindingResult, model);
     }

这是什么意思?如何解决这个问题?

4

1 回答 1

2

似乎这就是答案:https ://vulncat.fortify.com/en/detail?id=desc.dataflow.abap.denial_of_service

去引用:

代码从 zip 文件中读取字符串。因为它使用 readLine() 方法,所以它将读取无限量的输入。攻击者可能会利用此代码导致 OutOfMemoryException 或消耗大量内存,从而使程序花费更多时间执行垃圾收集或在某些后续操作期间耗尽内存。

可能你的扫描器知道(或认为它知道)这样一个属性在 Spring 中是如何实现的,所以会抛出这个检查警告。如果您可以添加任何详细信息:它是哪个扫描仪工具,它具有什么版本,哪些模块/配置设置等 - 更容易推理此消息。

于 2021-03-04T19:26:56.893 回答