AntJiuFo
commented
3 days ago 感谢您对XAST项目的关注~ 非String类型的污点其实在某些场景也是有意义的。比如水平越权的检测,要涉及到用户id的追踪,这种可能就是其他基础类型的了。在这个case里我们自定义了一种Sink点SinkUtil.sink,然后污点类型是Integer。在真实的业务场景中,水平越权的检测往往也要以业务实际场景自定义sink,追踪的也可能是身份凭证一类的非String类型的污点。
sast-java/src/main/java/com/sast/astbenchmark/cases/completeness/base/object/javaNative
Integer 和 long 类型的简单类型对象,不应该被当作是污点,此处是否应该为 _F.java