gpt4 book ai didi

java - Veracode CWE 501 JSP 文件中的缺陷信任边界违规

转载 作者:行者123 更新时间:2023-12-01 17:30:56 24 4
gpt4 key购买 nike

我在 session.setAttribute(var1,var2) 等线路上遇到了 veracode 缺陷 cwe id 501。我已经尝试过不同的方法来解决它,但无法解决这个问题。我尝试过的方法如下-1. 我使用了字符串文字并将 var1 传递给了它。最后我在那个易受攻击的行中使用了该字符串。2.根据不同博客中给出的建议,我尝试使用正则表达式进行输入验证,例如pattern.matches(“[0-9A-Fa-f]+”)。3.我还使用ESAPI进行输入验证。4. 此外,我检查了 var1 的值,只有当它为 null 时,我才将 var2 的值设置为 var1。

尝试了上述所有场景后,我仍然在 veracode 中遇到 501 信任边界违规问题。有人可以帮我吗?有没有其他方法可以让 veracode 静态扫描愚弄这个问题?请回复。提前致谢。

最佳答案

veracode中的错误描述-

对 javax.servlet.http.HttpSession.setAttribute() 的调用将可信数据和不可信数据混合在同一数据结构中,从而鼓励程序员错误地信任未经验证的数据。 setAttribute() 的第一个参数包含变量 PDTYPE 中的受污染数据。受污染的数据源自对 javax.servlet.ServletRequest.getParameterNames 的早期调用。

关于java - Veracode CWE 501 JSP 文件中的缺陷信任边界违规,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61122153/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com