最近业务需要出一份Java Web应用源码安全审查报告, 对比了市面上数种工具及其分析结果, 基于结果总结了一份规则库. 本文目录结构如下:
?...代码卫士
360出品, 名声似乎不太好, 误报比较多, 不过结果也有一定的参考价值. 如果代码在码云的话, 点服务一栏, 可以在线扫描码云库里的源码, 本地代码要去官网申请试用.
?
扫描结果
?...知乎有不少软文, 没找到免费试用的地方, 放弃了....*"的字符串,那么该段代码将会在执行其他指定命令的同时执行这条删除命令。
修复方式
(1)程序对非受信的用户输入数据进行净化,删除不安全的字符。
...不安全的FTP协议
代码中使用SFTP替代FTP
1 Channel channel = session.openChannel("sftp");
2 channel.connect