So sichern Sie Class.forName ("com.mysql.jdbc.Driver)?

Ich führte einen Sicherheits-Scan für unsere Anwendung durch, und eines der Sicherheitsprobleme, die dabei auftraten, ist" Download des Codes ohne Integritätsprüfung ". Dieses Risiko deutet darauf hin die Linie bei Class.forName("com.mysql.jdbc.Driver");So sichern Sie Class.forName ("com.mysql.jdbc.Driver)?

habe ich

, um herauszufinden, nicht in der Lage, wie ich die obige Codezeile sichern?
Wie kann ich sicher, dass Parameter für forName("") ist nicht bösartig Klasse, würde ich geladen werden

Hinweis: Ich verwende Java 1.7 in unserer Live-Umgebung. Wir haben keine Sicherheitsrichtlinie/SecurityManager installiert.

Bearbeiten: Security Scan verwendet wird Checkmarx.

Quelle

2016-09-21 Rohan Dmello

Entfernen Sie es. Es wurde seit 2007 nicht benötigt. – EJP

Yup das funktioniert. Vielen Dank! –

Mit recent JDBC drivers muss die Class.forName() Registrierung nicht mehr durchgeführt werden. Aktualisieren Sie Ihren Treiber, wenn er alt ist (nicht JDBC4 oder neuer), und Sie können die Leitung vollständig entfernen.

Das Sicherheitsproblem scheint sich auf this zu beziehen, was bedeuten würde, dass der Angreifer bereits Zugriff auf den Klassenpfad hat und daher auch auf andere Weise viel Schaden anrichten kann. Die vorgeschlagene Lösung, eine Prüfsumme zu diesem Zeitpunkt zu überprüfen, ist möglicherweise nicht allzu hilfreich.

Quelle

2016-09-21 16:46:39 Kayaman

Trotzdem klingt das immer noch wie ein Bug im Bericht. – chrylis

Könnte sein, er hat nicht erwähnt, welches Werkzeug er benutzt oder auf welcher Grundlage es das kennzeichnen würde. Es ist auch fraglich, warum es um "Download von Code" geht. – Kayaman

Das hat für mich funktioniert. Aber was, wenn die Klasse nicht "com.mysql.jdbc.Driver" ist. Wie sichern Sie 'Class.forName();' dann? –

So sichern Sie Class.forName ("com.mysql.jdbc.Driver)?

Antwort

Verwandte Themen