在LWUIT( getClass().getResourceAsStream()或Resources.Open(“”)中加载资源的另一种方法)

Question

我们刚刚收到了关于我们交付的J2ME应用程序安全性的反馈，而且Veracode似乎将在Resources.Open("/res/resfile.res")中调用的getClass().getResourceAsStream()作为安全漏洞。

http://www.cvedetails.com/cwe-details/73/External-Control-of-File-Name-or-Path.html

这里的问题是，资源不是由用户输入提供的，而是以我在这里展示的方式调用的。然而，出于某种原因，我们所处理的公司不会接受假阳性。

是否有其他方法来加载资源，使其不使用getResourceAsStream并通过Veracode测试？

Answer 1

不，没有其他方法为J2ME加载内部资源。您需要在getResourceAsStream()对象上使用Class。

这不是安全漏洞。我觉得Veracode很困惑。看起来他们认为你正在从用户SD卡或内部手机存储中加载一个外部文件--这确实是一个安全漏洞。但这不是getResourceAsStream()所做的。

使用getResourceAsStream()可以读取的唯一内容是您自己创建的JAR中包含的文件。

我认为你唯一能做的就是向Veracode解释这件事。因为这绝对不是安全漏洞。

Answer 2

您可以将文件的所有内容放入java类中。但这是没有乐趣的，也不是更安全。