根據Veracode的說法,我們正在應用幾百次與技術特定輸入驗證問題有關的CWE-ID 100「缺陷」。CWC-ID 100 Fix for MVC5
根據他們的文檔,修復是在使用它之前檢查模型上的ModelState.IsValid
屬性。我們在每一個管制員的行動上都做到這一點,但我們仍然沒有得到任一個示例控制器操作如下。
public async Task<ActionResult> DeliverySummary (ReportsViewModel Model)
{
if (ModelState.IsValid)
{
/* Other processing occurs here */
//finally return View
return View(Model);
}
else
{
return View();
}
}
我們的模型屬性爲System.ComponentModel.DataAnnotations
。
有沒有人遇到過這個?
發佈您的模型屬性和哪些屬性dinged CWE問題。我在SO上搜索了類似的問題,並在這裏找到單個條目:https://stackoverflow.com/questions/44289347/veracode-throws-technology-specific-input-validation-problems-cwe-id-100-for。 –
我們的視圖模型是巨大的..你想看到整個事情?他們沒有說出掃描結果包含哪些屬性。這就是整個問題。我不知道他們在爲我們做些什麼:/ – mituw16