상황 프로젝트 내에서 소스코드 점검을 진행했는데, 점검 결과, VA_FORMAT_STRING_USES_NEWLINE 취약점이 검출되었다. 점검은 OWASP TOP 10 ( 10대 웹 보안 취약점 ), CWE (보안 약점 ) 둘다 커버하는 Spotbugs + FindSecurityBugs를 사용하였다. VA_FORMAT_STRING_USES_NEWLINE에 대해 찾아보니, 개행문자를 사용하려면 "\n" 이 아니라 "%n"을 사용하라고 한다. FS: Format string should use %n rather than n (VA_FORMAT_STRING_USES_NEWLINE) This format string includes a newline character (\n). In format strings,..
상황 프로젝트 내에서 소스코드 점검을 진행했는데, 점검 결과, SQL_PREPARED_STATEMENT_GENERATED_FROM_NONCONSTANT_STRING 취약점이 검출되었다. 점검은 OWASP TOP 10 ( 10대 웹 보안 취약점 ), CWE (보안 약점 ) 둘다 커버하는 Spotbugs + FindSecurityBugs를 사용하였다. 취약점이 검출된 소스를 보니, + 를 사용해서 문장을 만들고 있었다. String sql = "SELECT temp," + System.lineSeparator() + "temp2," + System.lineSeparator() + "temp3" + System.lineSeparator() + "FROM DUAL"; 처리방법 동적으로 생성되는 것으로 보이는 문..
Spotbugs 플러그인, FindSecurityBugs 설치는 아래 링크에서 확인 이클립스 SpotBugs, FindSecurityBugs #1 설치 Spotbugs 플러그인, FindSecurityBugs 검사는 아래 링크에서 확인 이클립스 Spotbugs, FindSecurityBugs #2 검사 Spotbugs 플러그인, FindSecurityBugs 설치는 아래 링크에서 확인 Eclipse Marketplace..를 선택한.. yourusername.tistory.com Spotbugs 플러그인, FindSecurityBugs 리포트 1. Spotbugs 및 FindSecurityBugs 리포트 플러그인 설치 pom.xml에 아래와 같이 spotbugs report 플러그인을 추가한다. 긁어가려..
Spotbugs 플러그인, FindSecurityBugs 설치는 아래 링크에서 확인 이클립스 SpotBugs, FindSecurityBugs #1 설치 Spotbugs 플러그인, FindSecurityBugs 설치 1. Spotbugs 플러그인 이클립스에 설치 이클립스 실행 후, Help > Eclipse Marketplace..를 선택한다. 이클립스 마켓플레이스에서 “spotbugs”를 입력하여, SpotBugs.. yourusername.tistory.com Spotbugs 플러그인, FindSecurityBugs 검사 1. Spotbugs 및 FindSecurityBugs 검사 Project Explorer에서 프로젝트를 선택하고 마우스 오른쪽 버튼을 클릭한 뒤 메뉴에서 SpotBugs > Find..
Spotbugs 플러그인, FindSecurityBugs 검사는 아래 링크에서 확인 Eclipse Marketplace..를 선택한다.이클립스 마켓플레이스에서 “spotbugs”를 입력하여, SpotBugs Eclipse plugin을 설치한다. License를 승인하고 Finish를 선택한다. 설치가 완료되고 Eclipse IDE를 재실행할지 확인하는 알림이 나오면 Restart Now를 클릭하여 재실행한다.재실행 후 Help > Eclipse Marketplace… > Installed 항목을 선택하여 Spotbugs 플러그인이 설치되었는지 확인한다. 2. Spotbugs의 플러그인 방식으로 동작하는 FindSecurityBugs 설치https://find-sec-bugs.github.io/ 에 접속..
