在我的springjava应用程序中,scan tool显示了拒绝服务的漏洞:readline for ModelAttribute ("someFormBean")
```
@RequestMapping(method = RequestMethod.POST)
public String processForm(@Valid @ModelAttribute("someFormBean") MultipleForm form, /Source/
BindingResult bindingResult, Model model, HttpServletRequest request) {
return processForm(form, bindingResult, model);
}
这是什么意思?如何解决这个问题?
1条答案
按热度按时间jpfvwuh41#
看来答案是这样的:https://vulncat.fortify.com/en/detail?id=desc.dataflow.abap.denial_of_service
引用:
代码从zip文件中读取字符串。因为它使用readline()方法,所以它将读取无限量的输入。攻击者可能利用此代码导致outofmemoryexception或消耗大量内存,从而使程序花费更多时间执行垃圾回收或在后续操作中耗尽内存。
可能您的扫描器知道(或者认为它知道)这样的属性是如何在spring中实现的,所以抛出这个检查警告。如果您可以添加任何细节:它是哪种扫描仪工具,它有什么版本,哪些模块/配置设置等-这将更容易解释这个消息。