Вопросы по теме 'veracode'
Недостатки безопасности в коде с помощью инструмента Veracode
Я запустил свое приложение для обеспечения безопасности в инструменте Veracode. И всякий раз, когда инструмент обнаруживает какие-либо записи в журнале, он обнаруживает ошибку в коде И ошибка говорит ниже цитата
Неправильная нейтрализация вывода...
4665 просмотров
schedule
08.03.2023
Как исправить ошибку нарушения границ доверия в веб-приложении Java
Я получаю сообщение о нарушении границы доверия от Veracode. Мой код
userName= req.getParameter(Constant.USERNAME);
session.setAttribute(Constant.USERNAME, userName); //At this line i am getting Trust Boundry Violation flaw.
Как я могу...
26497 просмотров
schedule
30.10.2022
Ошибка XSS в BinaryWrite
Чтобы открыть файл PDF в браузере на стороне клиента, я использую следующий код С# на стороне сервера.
context.Response.BinaryWrite(byteArray);
Теперь проблема в том, что Veracode дает ошибку XSS (CWE ID 80) в этой строке.
Может ли...
1561 просмотров
schedule
10.11.2022
Каков наилучший способ исправить неправильное ограничение ссылки на внешний объект xml?
Недавно мы запустили VeraCode, который указывает на следующий метод:
public XmlElement RunProcedureXmlElement(string Procedure, List<SqlParameter> Parameters)
{
DataSet ds = RunProcedureDataSet(Procedure, Parameters);...
8807 просмотров
schedule
03.06.2023
Альтернативный способ загрузки ресурса, отличного от getClass().getResourceAsStream() или Resources.Open("") в LWUIT(J2ME)
Мы только что получили отзыв о безопасности приложения J2ME, которое мы доставили, и кажется, что Veracode использует getClass().getResourceAsStream(), вызываемый в Resources.Open("/res/resfile.res"), как недостаток безопасности. ....
723 просмотров
schedule
01.03.2024
Как исправить предупреждение Veracode: использование неправильного оператора при сравнении строк (CWE ID 597)
После статического сканирования Veracode появляется предупреждение «Использование неправильного оператора при сравнении строк (CWE ID 597)».
Для следующего кода:
if (uid != null && uid != "") {
// LOG.info("Inside deleteUser of...
1195 просмотров
schedule
31.03.2023
Как предотвратить атаку XML eXternal Entity (XXE) во время десериализации .net
Мы проводим анализ безопасности нашего кода с использованием veracode и обнаруживаем ошибку XXE для приведенного ниже кода, особенно там, где вызывается Deserialize(). Как мы можем предотвратить доступ сериализатора к внешним объектам. Моя попытка...
4777 просмотров
schedule
14.06.2023
Неправильная нейтрализация HTML-тегов, связанных со сценариями, на веб-странице (базовый XSS) (CWE ID 80) для ответа. BinaryWrite
Я попытался применить кодировку для имени файла, но по-прежнему получаю ошибку veracode в response.BinaryWrite(data);
Ниже мой код:
WebClient req = new WebClient();
HttpResponse response =...
1263 просмотров
schedule
23.03.2024
Как очистить все переменные, переданные в массив selectionArgs?
Отчет о статическом сканировании Veracode указывает на ошибку SQL Injection в моей реализации Content Provider.
Ранее я опубликовал этот вопрос , связанный с все мои сомнения относительно этого недостатка.
И после нескольких обсуждений я...
420 просмотров
schedule
29.03.2023
Проблема с Veracode - раскрытие информации через отправленные данные (CWE ID 201)
Ниже приведен фрагмент кода.
public void sendEmail(String toEmailAddr, String subject, String body) throws AppException {
Session session = Session.getDefaultInstance(props, null);
MimeMessage message = new MimeMessage(session);
try...
3899 просмотров
schedule
02.06.2022
Исправление CWE-ID 100 для MVC5
Согласно Veracode, наше приложение несколько сотен раз обнаруживали "недостатки" CWE-ID 100, связанные с специфическими технологическими проблемами проверки ввода .
Согласно их документам, исправление заключается в проверке свойства...
1808 просмотров
schedule
13.06.2023
Как исправить Veracode CWE 117 (неправильная нейтрализация вывода для журналов)
Существует глобальный метод Spring @ExceptionHandler(Exception.class) , который регистрирует подобное исключение:
@ExceptionHandler(Exception.class)
void handleException(Exception ex) {
logger.error("Simple error message", ex);
......
30242 просмотров
schedule
05.09.2022
Неправильная нейтрализация связанных со скриптом HTML-тегов на веб-странице (XSS)
Может ли кто-нибудь помочь мне понять, что не так.
@ResponseBody
@RequestMapping(value = "/compare", method = RequestMethod.POST,
produces = { "application/json" })
public List<A>...
359 просмотров
schedule
14.11.2023
Ошибка CWE 73 - приложение Veracode Issue -.net
У меня возникла проблема с назначением Veracode Scanner в моем проекте. Я создал функцию для проверки файла, но она не прошла через сканер веракода;
Вот код моей функции:
public static string GetSafeFileName(string fileNameToValidate)...
4325 просмотров
schedule
24.04.2023
Принудительное использование HttpOnly JSESSIONID в развернутом сервере приложений OC4J/Oracle
У нас есть устаревшее приложение, работающее на Oracle Application Server J2EE 10g 10.1.3.5.0 с использованием контейнеров OC4J. Чтобы устранить ошибку динамического сканирования Veracode CWE ID-402 (и для лучшей практики), нам нужно установить флаг...
367 просмотров
schedule
23.05.2024
Как исправить Veracode - Межсайтовый скриптинг - CWE ID 80 - Базовый XSS - использование $ (item) в функции .each
Итак, когда наше веб-приложение сканируется на наличие Veracode, я обнаруживаю много недостатков межсайтового скриптинга,
«Неправильная нейтрализация связанных со скриптом HTML-тегов на веб-странице (базовый XSS)» (CWE ID 80).
И из-за...
3989 просмотров
schedule
22.08.2023
Spring eval URL-адрес Veracode в JSP
У меня есть страница JSP, где я получаю URL-адрес из файла свойств, как показано ниже:
<spring:eval expression="@environment.getProperty('url.home')" var="homeUrl" />
и он используется, как показано ниже -
<a target="_blank"...
157 просмотров
schedule
15.12.2022
Проблема несоответствия хоста Ionic 3 cordova-plugin-advanced-http
Я использую плагин Cordova для закрепления SSL в моем проекте на основе Ionic 3 https://www.npmjs.com/package/cordova-plugin-advanced-http
В соответствии с его документацией мы должны передать Hostname в функцию setHeader() , чтобы связать его...
352 просмотров
schedule
28.07.2023
Невозможно исправить VeraCode CWE ID 918 - (SSRF) в ASP.NET
Короче говоря, что бы я ни пробовал, VeraCode продолжает отмечать 8 строк моего кода как недостатки в CWE 918. Это старый код, поэтому я не уверен, почему он внезапно помечается.
Вот пример [оскорбительного] метода с помеченной строкой, выделенной...
3747 просмотров
schedule
17.02.2023
Раскрытие информации через отправленные данные (CWE ID 201) в коде vera
window.top.location = "<%=AppProperties.getInstance().getProperty("Privacy")%>";
Я получаю уязвимость над кодом в veracode.
Рекомендация. Убедитесь, что передача конфиденциальных данных предназначена и не нарушает политику...
309 просмотров
schedule
03.03.2023