Информационная выдержка через отправленные данные в Java

Я получаю информацию об экспонировании через переданный дефект данных из veracode в моем Java-коде. Вот мой код:Информационная выдержка через отправленные данные в Java

// read file and write it into form... 
    bytesRead = fileInputStream.read(buffer, 0, bufferSize); 

     while (bytesRead > 0) { 

      dos.write(buffer, 0, bufferSize); 
      bytesAvailable = fileInputStream.available(); 
      bufferSize = Math.min(bytesAvailable, maxBufferSize); 
      bytesRead = fileInputStream.read(buffer, 0, bufferSize); 

      }

И изъян линия: dos.write(buffer, 0, bufferSize); Может кто-то пожалуйста, помогите мне?

источник

2016-07-05 Morshed

Если я заменил его на .write (buffer, 0, bufferSize), он по-прежнему показывает тот же дефект данных в veracode. – Morshed

Я думаю, проблема в том, что write/read генерирует исключение, которое может отображать больше информации, чем хочет Veracode. Security: CWE-201: What is the correct way to securely read a properties file using openStream? показывает, как обернуть код ввода-вывода, что может помочь.

источник

2016-07-05 22:09:16 user3486184

Вы должны позвонить .write(buffer, 0, bytesRead) вместо .write(buffer, 0, bufferSize). Операция .read может не читать bytesSize байтов, но вместо этого может читать меньший фрагмент.

источник

2016-07-05 22:50:08

Информационная выдержка через отправленные данные в Java

ответ

Смежные вопросы