veracode相关内容
我在一些论坛上读到一个神话,即通过执行此类操作就足以通过 Veracode CWE 117(日志的不当输出中和)问题.有人可以确认是否是这种情况吗? message.replaceAll("\r", "_").replaceAll("\n", "_"); 来自本主题 如何修复 VeracodeCWE 117(不正确的日志输出中和),我知道我需要做这样的事情 ESAPI.encoder().
..
(对不起,如果这是一个愚蠢的问题....) Veracode 报告我的网站存在与使用来自 web.config 的连接字符串相关的安全问题. 这是我的代码. 公共函数ExecuteScalar(ByVal sql As String) As ObjectDim obj As Object = 无尝试Dim connStr as String = ConfigurationMana
..
我收到来自 Veracode 的信任边界违规.我的代码是 userName= req.getParameter(Constant.USERNAME);session.setAttribute(Constant.USERNAME, userName);//在这一行,我遇到了信任边界违规缺陷. 如何验证 userName 以避免违反信任边界缺陷? 解决方案 根据您的用户名遵循的规则,只需使
..
因此,当我们在Web应用程序中扫描Veracode时,我发现许多跨站点脚本缺陷, “网页中与脚本相关的HTML标记的不正确中和(基本XSS)"(CWE ID 80). 而且,由于存在一些缺陷,我不知道如何解决此特定情况.下面是我的代码- $(“.ui-dialog-buttonset .ui-button:visible").each(function(index,item){va
..
我在一些论坛上读到一个神话,那就是这样做足以通过Veracode CWE 117(日志输出不正确中和)问题.有人可以确认是否是这种情况吗? message.replaceAll("\ r","_").replaceAll("\ n","_"); 通过本主题如何修复VeracodeCWE 117(日志输出中和不当),我知道我需要做这样的事情 ESAPI.encoder().encodeF
..
我们最近运行的VeraCode指出了以下方法: 公共XmlElement RunProcedureXmlElement(字符串过程,列表参数){数据集ds = RunProcedureDataSet(过程,参数);XmlDocument xmlDoc =新的XmlDocument();StringBuilder strXML = new StringBuilder(
..
我需要创建一个临时文件并将一些数据存储到其中.我已经编写了以下代码: import org.apache.commons.lang.RandomStringUtils; import java.security.SecureRandom; [...] String random = RandomStringUtils.random(10, 0, 0, true, true, null,
..
我有一个应用程序,可以根据客户的要求自定义HTML模板.它提供了在创建模板时包括CSS样式脚本的规定,该模板将在生成模板时最后注入.这样,客户/支持人员可以动态生成各种HTML模板. 但是当我将该项目进行安全扫描时,所有CSS注入都被检测为安全漏洞(XSS注入).我的应用程序本身是基于CSS注入进行设计的,因为创建动态HTML模板时不需要开发人员参与. 有没有办法在达到应用程序最终结果
..
好,所以我在Web API中使用ServiceStack OrmLite满足我的数据需求.当我将代码提交给VeraCode进行代码安全性扫描和验证时,结果报告显示OrmLite显示了潜在的SQL Injection攻击媒介. ServiceStack.OrmLite.dll GridReader DapperMultiple(System.Data.IDbConnection,
..
我通过Sent Data漏洞获取了Veracode Information Exposure.我的代码是: String companyName = System.getProperty(EPMIConstants.COMPANY_NAME); 此System.getProperty(EPMIConstants.COMPANY_NAME)从服务器本身中硬编码的JVM参数获取其值.
..
使用.Net Framework 4.7的混合webforms/mvc asp.net应用程序已在Veracode动态扫描中标记为“会话固定"漏洞.这意味着Veracode获取登录页面,更改SessionId cookie(ASP.NET_SessionId),然后使用有效的用户ID和密码进行张贴以进行登录. ASP.Net登录用户,但获取此更改后的SessionId cookie并继续使用它;使
..
在研发之后,我没有解决此问题.请找到下面的代码,并帮助我解决这个veracode缺陷. Response.AppendHeader("Content-Disposition"," attachment; filename = " + Session["user_id"] + "_makler.pdf"); 说明-函数调用包含HTTP响应拆分漏洞.将未经消毒的用户提供的输入写入HTTP标头
..
我已经继承了旧版应用程序,下面提供了一段代码. private static void printKeywordCheckboxes(JspWriter out, ArrayList words, int type) throws IOException { LogbookKeyword thisWord; Iterator iterWord = words.iterator
..
Veracode为C#中的公共字符串属性引发“特定于技术的输入验证问题(CWE ID 100)". 这些是我已经尝试过的格式,并且都具有相同的缺陷. 选项:1 public string MyProperty { get; set; } 选项:2 private string _myProperty; public string MyProper
..
我在我的项目上运行了Veracode扫描,它在HTTP响应拆分下给了我CWE ID 113问题.我尝试通过那里的建议来解决该问题,但没有成功.例如 try { String selNhid = req.getParameter("selNhid"); String redirectURL = "/nhwhoods?action=membersNH&se
..
我的项目中的当前代码如下所示,Veracode报告有操作系统命令注入 filename = Regex.Replace(filename, "[^a-zA-Z0-9_]", "_") & ".svg" ProcessStartInfo startInfo = default(ProcessStartInfo); Process pStart = new Process(); startIn
..
我有以下php代码
..
我已经完成了以下工作... private static IDbConnectionProvider CreateSqlConnectionProvider(DbConfig dbConfig) { return new QcDbConnectionProvider(() => { SqlConnectionStringBuilder csBu
..
我在veracode报告中得到了下一个发现: XML外部实体引用('XXE')的不当限制(CWE ID 611) 引用下面的代码 ... DocumentBuilderFactory dbf=null; DocumentBuilder db = null; try { dbf=DocumentBuilderFactory
..
var xDoc = XDocument.Load(fileName); 我在函数中使用以上代码来加载XML文件.从功能上来说,它可以正常工作,但是在Veracode检查之后,它会显示以下Veracode缺陷. 说明 该产品处理的XML文档可以包含XML实体,这些XML实体的URL可以解析为外部文档 预期的控制范围,导致产品将不正确的文档嵌入到其输出中.默认情况下, XML实体解析
..