spring java应用程序的拒绝服务读线漏洞

lrpiutwd  于 2021-07-13  发布在  Java
关注(0)|答案(1)|浏览(472)

在我的springjava应用程序中,scan tool显示了拒绝服务的漏洞:readline for ModelAttribute ("someFormBean") ```
@RequestMapping(method = RequestMethod.POST)
public String processForm(@Valid @ModelAttribute("someFormBean") MultipleForm form, /Source/
BindingResult bindingResult, Model model, HttpServletRequest request) {
return processForm(form, bindingResult, model);
}

这是什么意思?如何解决这个问题?
jpfvwuh4

jpfvwuh41#

看来答案是这样的:https://vulncat.fortify.com/en/detail?id=desc.dataflow.abap.denial_of_service
引用:
代码从zip文件中读取字符串。因为它使用readline()方法,所以它将读取无限量的输入。攻击者可能利用此代码导致outofmemoryexception或消耗大量内存,从而使程序花费更多时间执行垃圾回收或在后续操作中耗尽内存。
可能您的扫描器知道(或者认为它知道)这样的属性是如何在spring中实现的,所以抛出这个检查警告。如果您可以添加任何细节:它是哪种扫描仪工具,它有什么版本,哪些模块/配置设置等-这将更容易解释这个消息。

相关问题