我用Coverity分析了Java中某些服务的代码,它们在控制器中引发了以下安全问题:“ tainted_source:将此功能作为框架入口点输入。参数bodyparams被污染,因为它来自http请求。”处理此类参数的正确方法是什么?
最佳答案
您的问题中显示的输出仅是完整调查结果的一部分。它显示了为什么service_id
被认为是“受污染的”(即,在攻击者的潜在控制之下),但没有显示受污染的数据发生了什么,因此我们无法知道代码在试图做什么或如何解决。
在Coverity GUI中,右下角有一个“事件面板”,可用于导航到发现的其余部分。通过单击该面板中的事件,您应该能够看到service_id
发生了什么,有时该工具会提供有关如何修复它的建议。
披露:我曾经为Coverity / Synopsys工作。