gpt4 book ai didi

java - Veracode CWE 384 session 固定

转载 作者:行者123 更新时间:2023-11-30 08:13:00 24 4
gpt4 key购买 nike

我正在修复 veracode 静态扫描发现的缺陷,并且我发现了几个 session 修复缺陷,如下所示:

  • request.getSession().get/set Attribute( );

OWASP 说我应该在注销和登录后使 session 无效,但这些行周围没有登录。我不明白为什么在这一行中检测到这个缺陷。您能帮我理解为什么会发生这种情况以及如何解决它吗?

最佳答案

OWASP 说的是对的,您需要在注销时使 session 无效,这更多是通用注释。正如您正确地提到的,这些代码行周围没有日志记录,我看到您正在尝试让 session 设置和检索其中的值。

如果您发布更多代码以更好地理解它,那就太好了。

如果您确定它不会对系统产生太大影响,您可以在 veracode 中将其标记为误报(或将修复提供为无修复,并提供适当的缓解说明)。

关于java - Veracode CWE 384 session 固定,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30096448/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com