个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
31
4
我在 Veracode 平台上对我的代码进行了 SAST 扫描,并且在 Java 邮件功能中发现了此漏洞,我使用该功能从我的应用程序发送邮件。以下是即将出现的漏洞 - CRLF 序列的不正确中和(“CRLF 注入(inject)”)(CWE ID 93)。
message.setSubject(subjectOfEmail);
我听说我们可以使用 ESAPI 库,但我找不到合适的验证函数。请有人帮助我修复此问题,以便扫描中不再出现此问题。
最佳答案
查看 Veracode 帮助中心的此页面,其中列出了可修复某些缺陷类的验证库:
https://help.veracode.com/reader/DGHxSJy3Gn3gtuSIN2jkRQ/y52kZojXR27Y8XY51KtvvA
有大量 ESAPI 库可以修复 CWSE 93 缺陷,包括
org.owasp.esapi.Encoder.encodeForHTML
关于java - ESAPI 库中是否有验证可以确保 Veracode SAST 扫描中不会出现 CWE-93 漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56837048/
31
4
0
我们的客户端使用 Veracode 扫描工具扫描 ASP.NET 应用程序。除了以下问题,我们已经解决了许多缺陷。 Improper Neutralization of CRLF Sequences
我在运行静态扫描时收到 Veracode 错误:操作系统命令中使用的特殊元素的不正确中和(“操作系统命令注入(inject)”)(CWE ID 78) 应用程序使用我从前端接收到的参数调用进程(应用程
我在 veracode 工具中运行了我的安全合规应用程序。每当该工具发现任何日志记录时,它都会将其检测为代码中的缺陷 缺陷在下面引用 日志输出中和不当 描述 函数调用可能导致日志伪造攻击。将未经过滤的
我继承了一个处于维护阶段的 Java (Spring) 项目,该项目刚刚第一次通过 Veracode,我们剩下的唯一 High 缺陷是报告“弱或损坏”的缺陷加密演算法。我更愿意花时间学习更多有关密码学
我正在测试的代码中出现信任边界冲突。该代码在 session 中添加表单,并且由于违反信任边界而存在缺陷 Inside Struts Action class execute method { Ed
我正在尝试让 Veracode 扫描一个 iOS 应用程序:一个应用程序安全平台。为了让他们扫描 .IPA,.IPA 需要包含调试符号。 对于正在使用的存档构建配置和项目/目标,我指定了: 生成调试符
我们在 ASP.Net 和 C# 中有一个遗留的 Web 应用程序,我们发现了大约 400 多个由 Veracode 扫描引发的跨站点脚本缺陷。我创建了一个示例 Web 应用程序并模拟了该问题,发现无
我在 veracode 报告中得到了下一个发现:XML 外部实体引用(“XXE”)的不当限制(CWE ID 611) 引用下面的下一个代码 ... DocumentBuilderFactory d
我在下面的行中遇到了 veracode 问题 "> 问题在在这里,报告的问题是“网页中与脚本相关的 HTML 标签的中和不当(基本 XSS)。我已经尝试了 cwe.mitre.org 中给出的修复程序
我的 Veracode 报告中有下一个发现:XML 外部实体引用 ('XXE') (CWE ID 611) 的不当限制 引用下面的下一个代码 ... DocumentBuilderFactory
我们正在使用 Mongo DB java 驱动程序 3.4.1 jar。当我们进行 Veracode 测试时,我们发现: ScramSha1Authenticator.java line no 215
我在 session.setAttribute(var1,var2) 等线路上遇到了 veracode 缺陷 cwe id 501。我已经尝试过不同的方法来解决它,但无法解决这个问题。我尝试过的方法如
我有这个代码: try { BufferedWriter bw = null; FileWriter fw = null; try {
我使用 Veracode 扫描我的应用程序并出现以下错误未检查的错误条件。这是我的代码: let status = withUnsafeMutablePointer(to: &queryRes
我正在修复 veracode 静态扫描发现的缺陷,并且我发现了几个 session 修复缺陷,如下所示: request.getSession().get/set Attribute( ); OWAS
有一个 Spring 全局 @ExceptionHandler(Exception.class) 方法可以像这样记录异常: @ExceptionHandler(Exception.class) voi
我们在登录页面中使用 Web 控制适配器。最近我们在我们的 Web 应用程序上运行 VeraCode。在下面的函数中,我们得到了 CWE80, Improper Neutralization of S
代码如下 public void sendEmail(String toEmailAddr, String subject, String body) throws AppException {
有人能解释一下为什么 VeraCode 似乎认为使用 name 作为公共(public)属性(property)是一个坏主意,并提出了一个好的缓解措施吗? 代码(JavaScript): var Ba
我继承了一个遗留应用程序,下面给出了一段代码。 private static void printKeywordCheckboxes(JspWriter out, ArrayList words, i
我是一名优秀的程序员,十分优秀!