我们正在使用Fortify进行静态代码分析。 Fortify扫描报告的问题之一是“经常被滥用:身份验证”。从“java.net.InetAddress”类开始使用以下方法之一时会标记该问题。
getAddress()
getByName(bindAddress)
getHostName()
getHostAddress()
getCanonicalHostName()
getLocalHost()
getAllByName()
同样的理想修复是什么?
建议使用一种可能的方法here,我不确定我们是否有其他方法可以解决此问题。
由于
答案 0 :(得分:1)
此漏洞实际上只是警告您作为开发人员不要信任这些输出。确定服务器是否是他们所说的人的一种有效方法是使用SSL。 在您的应用程序中,您只是获取服务器列表并向其发送转发身份验证请求。如果用户然后通过SSL连接以与机器进行身份验证,则可能不应该是一个问题(只要自签名证书不允许连接)