veracode

    0熱度

    1回答

    如何在JAVA中驗證文件名以使用ESAPI解析CWE ID 73(文件名或路徑的外部控制)?

    我在多個地方在我的項目中面臨着這個安全缺陷。我沒有任何白名單來檢查這個漏洞的每一次發生。我想使用ESAPI調用來對文件名進行基本的黑名單檢查。我已經讀過,我們可以使用ESAPI的SafeFile對象,但無法弄清楚如何以及在哪裏。 以下是我提出的幾個選項,請讓我知道哪一個可以解決? ESAPI.validator().getValidInput()或 ESAPI.validator().getVal
    java owasp esapi veracode 2015-12-02

    6熱度

    2回答

    如何配置XML解析器以禁用C中的外部實體解析#

    var xDoc = XDocument.Load(fileName); 我在函數中使用上述代碼來加載XML文件。功能明智的工作正常,但它顯示Veracode檢查後Veracode缺陷。 說明 產品流程,可以包含XML實體解析爲外界控制的預期範圍的 文檔的URL,致使產品中嵌入不正確的文件到其輸出的XML文檔。默認情況下, XML實體解析器將嘗試解析和檢索外部引用。如果攻擊者控制的XML可以被
    c# veracode 2015-08-25

    0熱度

    1回答

    替代對System.exit(1)中的Java通過Veracode的掃描

    J2EE爲實踐:System.exit的使用() 的VeraCode掃描表示上述安全漏洞。 Vera代碼指向System.exit使用的地方,而不是main()方法。 System.exit(1)的用途是在執行批處理作業時連接無效時退出系統。 什麼是替代System.exit(1)以通過維拉代碼掃描。
    java veracode system.exit 2015-10-15

    0熱度

    1回答

    在MVC中使用.html()顯示對話框給出了Veracode中的XSS錯誤

    我們開發的系統是通過Veracode運行以查找安全缺陷。它突出顯示了一個「網頁中與腳本相關的HTML標記不正確中和(基本XSS)」項目上的一個JavaScript函數,彈出一個模式對話框中的視圖。該視圖沒有數據輸入並且不顯示先前輸入的數據。 問題是交易ID嗎?它是系統生成並保存在一個隱藏的領域。如果是這樣,HTML.Encode()應該在視圖的剃刀語法中應用transactionID(即由$ .g
    jquery html asp.net-mvc security veracode 2015-10-19

    0熱度

    1回答

    如何在不引入XSS的情況下允許用戶控制的CSS?

    我有一個應用程序,可以根據客戶端的要求定製HTML模板。它在創建模板時會包含CSS樣式腳本,並在生成模板時最後注入模板。通過這種方式,客戶/支持人員可以動態生成各種HTML模板。 但是,當我爲這個項目進行安全掃描時,所有CSS注入都被檢測爲安全漏洞(XSS注入)。我的應用程序本身是基於CSS注入設計的,因爲它需要在沒有開發人員參與的情況下創建動態HTML模板。 有沒有辦法在實現應用程序最終結果的同
    css security xss veracode 2015-09-07

    1熱度

    1回答

    避免在Veracode中掃描第三方庫

    我們最近開始使用Veracode進行漏洞測試。有沒有辦法有選擇地排除所有第三方庫,並只將掃描的焦點集中在我們的內部庫代碼上?
    veracode 2016-03-29

    1熱度

    1回答

    CWE-73:的文件名或路徑Veracode的Java解決方案外部控制

    有人可以幫我瞭解Java編碼解決方案下面維拉代碼罐頭錯誤? 我創建一個文件,並通過文件位置作爲參數。 File file1=new File(filePath); **CWE-73: External Control of File Name or Path**
    java filenames filepath veracode 2016-08-28

    2熱度

    1回答

    Veracode的XML外部實體(XXE)

    我已經得到了下一個發現我的Veracode的報告: XML外部實體( 'XXE')的不當限制(CWE ID 611) 指下一個代碼波紋管 ... > DocumentBuilderFactory dbf=null; DocumentBuilder db = null; try { dbf=DocumentBuilderFactory.newInstance(); > dbf.setFe
    java veracode xxe 2015-06-22

    1熱度

    1回答

    避免通過Veracode的靜態掃描掃描第三方庫

    我正在修復我的應用程序的Veracode靜態掃描結果中的缺陷,並且我意識到它除了我的源代碼之外還在分析第三方庫。例如,它正在研究Apache Commons庫,它正在發現其中的缺陷。 我該如何指導Veracode不要掃描那些第三方庫?
    static-analysis veracode 2015-05-07

    1熱度

    1回答

    HTTP頭中CRLF序列的不當中和('HTTP Response Splitting')

    後R & D我沒有解決這個問題。請在下面找到一段代碼並幫助我解決這個問題。 Response.AppendHeader("Content-Disposition"," attachment; filename = " + Session["user_id"] + "_makler.pdf"); 說明 - 甲函數調用包含HTTP響應拆分缺陷。將未經過用戶處理的用戶提供的輸入寫入HTTP標頭 允許
    .net asp.net-mvc html5 c#-3.0 veracode 2015-06-29
最新問題