- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
有谁知道如何修复 Checkmarx 漏洞——基于 Java 的应用程序的跨站点历史操作?以下是 Checkmarx 扫描提供的描述——“该方法可能会泄露服务器端条件值,从而使用户能够从另一个网站进行跟踪。这可能构成隐私侵犯。”
相关代码如下:
if(user is logged in) {
response.sendRedirect(url);
} else {
response.sendRedirect(url)
}
谷歌搜索后,我发现了一些 Checkmarx 文档,建议将随机数添加到重定向 url。这是文档的链接:https://www.checkmarx.com/wp-content/uploads/2012/07/XSHM-Cross-site-history-manipulation.pdf
例如:
If ( !isAuthenticated)
Redirect(„Login.aspx?r=‟ + Random())
我试过这种方法,但 Checkmarx 扫描仍然显示相同的漏洞。不知道为什么。
最佳答案
XSHM 可能是来自 CX 文档的 CWE-203 ( http://cwe.mitre.org/data/definitions/203.html )。
问题可以复杂也可以简单。只有你的 5 行,我们不能确切地说出什么是好的解决方案。
关于java - 跨站点历史操作(Checkmarx),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50955857/
我正在使用 CLI 工具运行 checkmarx 扫描。我一直在安装了 Windows 的本地计算机上运行它,并且运行良好。每当我尝试从安装了 Windows 的 VM 运行完全相同的命令时,就会出现
Checkmarx - v 9.3.0 HF11 我将 env 值作为数据目录路径传递到 dev/uat 服务器中使用的 docker 文件中 ENV DATA /app/data/ 在本地,使用以下
我正在使用Checkmarx安全工具扫描我的代码,它说当我对数据库执行executeUpdate()命令时,这是“不正确的资源访问授权”。 各种谷歌搜索都没有成功。 int rowInserted =
我的安全配置中有 csrf().disable() ,并且 checkmarx/Sonar/Veracode 扫描对此有所提示。 除了使用 security.enable-csrf(已被弃用)之外,还
有谁知道如何修复 Checkmarx 漏洞——基于 Java 的应用程序的跨站点历史操作?以下是 Checkmarx 扫描提供的描述——“该方法可能会泄露服务器端条件值,从而使用户能够从另一个网站进行
在使用 checkmarx 扫描代码以查找安全漏洞时,报告了一个指向变量名的隐私侵犯问题。 public const string Authentication = "authentication"
我有一个 REST Controller ,它有一个接受两个参数的方法 deleteStudentstudentId 为 Long,section 为 String。 @RequestMapping(
try { //code } catch (ParseException e) { e.printStackTrace(); } catch (MalformedURLExceptio
你好!我担心 checkmarx 扫描的可靠性。 我创建了一个只有两个文件的 checkmarx 项目: library.minified.js library.formatted.js 我用过bea
我有一个从客户端接收字符串的端点,如下所示: @GET @Path("/{x}") public Response doSomething(@PathParam("x") String x) {
任何人都可以建议以下 getCourses 方法中 courseType 变量所需的正确清理/验证过程。我正在使用该变量写入日志文件。 我试过 HtmlUtils.HtmlEscape() 但没有得到
Checkmarx 提示存在未经验证的数据库输出。一般如何验证数据库输出? 最佳答案 通常,您必须对发送回客户端的数据进行编码。根据您的代码,有很多解决方案。 参见https://github.com
Checkmarx 为我的 Controller 类中的以下方法提供了 XSS 漏洞。具体来说:该元素的值 (ResultsVO) 然后在没有经过适当清理或验证的情况下流经代码,并最终在方法中显示给用
我正在使用 Checkmarx 安全工具扫描我的代码。我得到: Improper Access Control Authorization 在将数据从文件写入输出流时使用读/写方法。 private
我正在为我的一个项目运行 CheckMarx 扫描,它针对方法的输入字符串参数之一存在 SSRF 漏洞。我的方法如下所示,参数 param1 抛出 SSRF 漏洞。 public String met
Checkmark 扫描了我们的代码并显示这些代码存在二阶注入(inject)的风险像这样的代码 @SuppressWarnings("unchecked") public List> findByS
我正在使用 Checkmarx 分析我的项目,唯一剩下的中等严重性项目是 Missing_HSTS_Filter,目标名称是 HSTSFilter。在我的 web.xml 中,我有: HST
CheckMarx 正在标记一个对我来说看起来像是误报的错误。我们的应用程序是用 C# 编写的,并使用 ASP.NET Core。 错误是: The web application's Startup
我计划使用 Checkmarx 的 KICS 扫描 Terraform 基础设施代码。这是我在网上获取的示例 https://docs.kics.io/1.3.1/integrations_azure
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 去年关闭。 Improve this
我是一名优秀的程序员,十分优秀!