Вопросы по теме 'veracode'

Недостатки безопасности в коде с помощью инструмента Veracode
Я запустил свое приложение для обеспечения безопасности в инструменте Veracode. И всякий раз, когда инструмент обнаруживает какие-либо записи в журнале, он обнаруживает ошибку в коде И ошибка говорит ниже цитата Неправильная нейтрализация вывода...
4665 просмотров
java web-applications security veracode
schedule 08.03.2023
Как исправить ошибку нарушения границ доверия в веб-приложении Java
Я получаю сообщение о нарушении границы доверия от Veracode. Мой код userName= req.getParameter(Constant.USERNAME); session.setAttribute(Constant.USERNAME, userName); //At this line i am getting Trust Boundry Violation flaw. Как я могу...
26497 просмотров
java security veracode
schedule 30.10.2022
Ошибка XSS в BinaryWrite
Чтобы открыть файл PDF в браузере на стороне клиента, я использую следующий код С# на стороне сервера. context.Response.BinaryWrite(byteArray); Теперь проблема в том, что Veracode дает ошибку XSS (CWE ID 80) в этой строке. Может ли...
1561 просмотров
.net c# security veracode
schedule 10.11.2022
Каков наилучший способ исправить неправильное ограничение ссылки на внешний объект xml?
Недавно мы запустили VeraCode, который указывает на следующий метод: public XmlElement RunProcedureXmlElement(string Procedure, List<SqlParameter> Parameters) { DataSet ds = RunProcedureDataSet(Procedure, Parameters);...
8807 просмотров
xml .net c# veracode
schedule 03.06.2023
Альтернативный способ загрузки ресурса, отличного от getClass().getResourceAsStream() или Resources.Open("") в LWUIT(J2ME)
Мы только что получили отзыв о безопасности приложения J2ME, которое мы доставили, и кажется, что Veracode использует getClass().getResourceAsStream(), вызываемый в Resources.Open("/res/resfile.res"), как недостаток безопасности. ....
723 просмотров
java veracode java-me lwuit
schedule 01.03.2024
Как исправить предупреждение Veracode: использование неправильного оператора при сравнении строк (CWE ID 597)
После статического сканирования Veracode появляется предупреждение «Использование неправильного оператора при сравнении строк (CWE ID 597)». Для следующего кода: if (uid != null && uid != "") { // LOG.info("Inside deleteUser of...
1195 просмотров
string veracode
schedule 31.03.2023
Как предотвратить атаку XML eXternal Entity (XXE) во время десериализации .net
Мы проводим анализ безопасности нашего кода с использованием veracode и обнаруживаем ошибку XXE для приведенного ниже кода, особенно там, где вызывается Deserialize(). Как мы можем предотвратить доступ сериализатора к внешним объектам. Моя попытка...
4777 просмотров
xml .net c# veracode
schedule 14.06.2023
Неправильная нейтрализация HTML-тегов, связанных со сценариями, на веб-странице (базовый XSS) (CWE ID 80) для ответа. BinaryWrite
Я попытался применить кодировку для имени файла, но по-прежнему получаю ошибку veracode в response.BinaryWrite(data); Ниже мой код: WebClient req = new WebClient(); HttpResponse response =...
1263 просмотров
c# veracode xss
schedule 23.03.2024
Как очистить все переменные, переданные в массив selectionArgs?
Отчет о статическом сканировании Veracode указывает на ошибку SQL Injection в моей реализации Content Provider. Ранее я опубликовал этот вопрос , связанный с все мои сомнения относительно этого недостатка. И после нескольких обсуждений я...
420 просмотров
android sqlite veracode android-contentprovider sql-injection
schedule 29.03.2023
Проблема с Veracode - раскрытие информации через отправленные данные (CWE ID 201)
Ниже приведен фрагмент кода. public void sendEmail(String toEmailAddr, String subject, String body) throws AppException { Session session = Session.getDefaultInstance(props, null); MimeMessage message = new MimeMessage(session); try...
3899 просмотров
java veracode
schedule 02.06.2022
Исправление CWE-ID 100 для MVC5
Согласно Veracode, наше приложение несколько сотен раз обнаруживали "недостатки" CWE-ID 100, связанные с специфическими технологическими проблемами проверки ввода . Согласно их документам, исправление заключается в проверке свойства...
1808 просмотров
c# asp.net-mvc asp.net-mvc-5 veracode
schedule 13.06.2023
Как исправить Veracode CWE 117 (неправильная нейтрализация вывода для журналов)
Существует глобальный метод Spring @ExceptionHandler(Exception.class) , который регистрирует подобное исключение: @ExceptionHandler(Exception.class) void handleException(Exception ex) { logger.error("Simple error message", ex); ......
30242 просмотров
java logging spring veracode esapi
schedule 05.09.2022
Неправильная нейтрализация связанных со скриптом HTML-тегов на веб-странице (XSS)
Может ли кто-нибудь помочь мне понять, что не так. @ResponseBody @RequestMapping(value = "/compare", method = RequestMethod.POST, produces = { "application/json" }) public List<A>...
359 просмотров
java veracode
schedule 14.11.2023
Ошибка CWE 73 - приложение Veracode Issue -.net
У меня возникла проблема с назначением Veracode Scanner в моем проекте. Я создал функцию для проверки файла, но она не прошла через сканер веракода; Вот код моей функции: public static string GetSafeFileName(string fileNameToValidate)...
4325 просмотров
.net c# veracode
schedule 24.04.2023
Принудительное использование HttpOnly JSESSIONID в развернутом сервере приложений OC4J/Oracle
У нас есть устаревшее приложение, работающее на Oracle Application Server J2EE 10g 10.1.3.5.0 с использованием контейнеров OC4J. Чтобы устранить ошибку динамического сканирования Veracode CWE ID-402 (и для лучшей практики), нам нужно установить флаг...
367 просмотров
veracode httponly oc4j
schedule 23.05.2024
Как исправить Veracode - Межсайтовый скриптинг - CWE ID 80 - Базовый XSS - использование $ (item) в функции .each
Итак, когда наше веб-приложение сканируется на наличие Veracode, я обнаруживаю много недостатков межсайтового скриптинга, «Неправильная нейтрализация связанных со скриптом HTML-тегов на веб-странице (базовый XSS)» (CWE ID 80). И из-за...
3989 просмотров
javascript user-interface html jquery veracode
schedule 22.08.2023
Spring eval URL-адрес Veracode в JSP
У меня есть страница JSP, где я получаю URL-адрес из файла свойств, как показано ниже: <spring:eval expression="@environment.getProperty('url.home')" var="homeUrl" /> и он используется, как показано ниже - <a target="_blank"...
157 просмотров
spring veracode jsp
schedule 15.12.2022
Проблема несоответствия хоста Ionic 3 cordova-plugin-advanced-http
Я использую плагин Cordova для закрепления SSL в моем проекте на основе Ionic 3 https://www.npmjs.com/package/cordova-plugin-advanced-http В соответствии с его документацией мы должны передать Hostname в функцию setHeader() , чтобы связать его...
352 просмотров
cordova ssl ionic3 veracode
schedule 28.07.2023
Невозможно исправить VeraCode CWE ID 918 - (SSRF) в ASP.NET
Короче говоря, что бы я ни пробовал, VeraCode продолжает отмечать 8 строк моего кода как недостатки в CWE 918. Это старый код, поэтому я не уверен, почему он внезапно помечается. Вот пример [оскорбительного] метода с помеченной строкой, выделенной...
3747 просмотров
asp.net asp.net-mvc veracode ssrf
schedule 17.02.2023
Раскрытие информации через отправленные данные (CWE ID 201) в коде vera
window.top.location = "<%=AppProperties.getInstance().getProperty("Privacy")%>"; Я получаю уязвимость над кодом в veracode. Рекомендация. Убедитесь, что передача конфиденциальных данных предназначена и не нарушает политику...
309 просмотров
javascript veracode
schedule 03.03.2023