那些遇到过的问题

使用 java.io.File.createTempFile 时 Veracode 不安全临时文件错误

D.P*_*TIT 6 java security file secure-coding veracode

我需要创建一个临时文件并将一些数据存储到其中。为此,我编写了以下代码:

import org.apache.commons.lang.RandomStringUtils;
import java.security.SecureRandom;

[...]

String random = RandomStringUtils.random(10, 0, 0, true, true, null, new SecureRandom());
File tempFile = File.createTempFile("PREFIX-" + random, ".pdf");

[...]
Run Code Online (Sandbox Code Playgroud)

它确实工作得很好,但是当我将此代码提交给Veracode 时,出现“不安全的临时文件(CWE ID 377)”错误。我认为使用SecureRandom会使临时文件名无法被攻击者预测。

在不使 Veracode 不满意的情况下生成临时文件的正确方法是什么?

Niv*_*eti 1

我认为这个问题在 Java 6 Update 11 版本中得到了解决。使用最新版本的 Java。

归档时间:

查看次数:

1841 次

最近记录:

5 年,3 月 前
相关归档
如何将String对象转换为Boolean对象? 315
整数的最大值 268
Arrays.asList()不能正常工作? 54
Linux中的双点(..)和单点(.)是什么? 42
浏览器实施同源策略的方式有很大差异吗? 10
让.NET考虑特定的网络共享以完全信任 7
创建文件数组并在ruby中按日期排序 6
减少PHP插件恶意的可能性 4
PKCS7 在 Java 中验证数字签名 3
无法包含文件并且"无法打开流:没有此类文件或目录"警告消息 3
难疑归档
如何在单个表达式中合并两个词典? 4349
如何水平居中<div>? 4116
在HTML5 localStorage中存储对象 2386
'using'指令应该在命名空间的内部还是外部? 1975
我如何递归grep? 1619
@classmethod和@staticmethod对初学者的意义? 1532
const和readonly有什么区别? 1269
在Python中使用大写字母和数字生成随机字符串 1247
抵消html锚点以调整固定标题 1056
如何将div中的绝对定位元素居中? 1034