来自 findbugs-sec-plugin 的误报 Spring LDAP

Question

它似乎没有考虑到Filter.toString/encode 实际上可以正确编码 LDAP 过滤器。所以如果我有类似的标志

Filter filter = blahblah;
ldapTemplate.search("", filter.toString());

它会在不应该的地方标记此代码易受 LDAP 注入攻击。

如何让 findsec-bugs-plugin 不将这种用法标记为问题？

Answer 1

这一切都取决于 Filter 类的实现。 Find-Security-Bugs 还不知道该类。如果它正确地转义了潜在的输入，我们可以轻松地将Filter.toString() 标记为安全。是the class from UnboundID吗。

请open a ticket on the issue tracker on Find-Security-Bugs。