漏洞
1、 SHA-1 and Message-Digest hash algorithms should not be used
不应该使用 SHA-1 和消息摘要散列算法,已证实不再安全;不建议使用 MD5 哈希散列算
法,建议用更强壮的算法,比如非对称加密算法
解决方案:1、(建议标识为误判)理由:只是对后台数据加密,目前涉及范围广,无法修改,
替换影响较大。
2、简单粗暴,直接打成 jar 包
2、 Classes should not be loaded dynamically
不应该动态加载类,动态加载的类可能包含由静态类初始化程序执行的恶意代码.
解决方案:
暂无,(建议标识为误判)理由:此反射机制的使用属正常情况。集团已同意不再统计此
类
3、SQL binding mechanisms should be used
应该使用 SQL 绑定机制
解决方案:不建议使用 sql 拼接的方式。可以使用对象函数封装一下;针对特殊情况如表名
动态的,如果实在改不动,建议修改为误判,并给除理由:由于表名动态,需
使用拼接方式。
剩余11页未读,继续阅读
评论0