我通过Information Exposure漏洞获得了Veracode Sent Data。我的代码是:
String companyName = System.getProperty(EPMIConstants.COMPANY_NAME);
此System.getProperty(EPMIConstants.COMPANY_NAME)从服务器本身硬编码的JVM参数中获取其值。
变量companyName导致了这个缺陷。
有人可以告诉我如何避免这个缺陷吗?
答案 0 :(得分:1)
我建议您在Veracode中创建一个规则例外,以便不再突出显示误报。
的Fabio
答案 1 :(得分:0)