1

我正在开发一个 Web 应用程序,该应用程序正在客户端进行部署、测试和上线。现在申请。处于测试模式。客户已使用 Veracode 测试工具来检查漏洞。我们发现了很多问题。在此之前我想告诉大家,我是这个 Veracode 漏洞修复的新手,我对这些问题了解不多。我在网上搜索过,但对于其中一些漏洞发现的信息很少。你能把我从下面列出的这些缺陷中拖出来吗?

1)密码学问题:熵不足。2)密码问题:使用硬编码密码密钥。3)违反信任边界

我在这个文件中面临的第一个缺陷

在 RandomPwdGenerator.java 文件中,我们正在生成密码。

你能告诉我这里的期望是什么吗?任何帮助appriciated.Thanx提前。

4

1 回答 1

1

我是 Veracode 产品经理。抱歉,如果您在这里遇到挑战。如果您的客户已让您登录 Veracode 平台,您可以使用 Triage Flaws 视图获取每个缺陷的解释以及指向有关 CWE、OWASP 和 WASC 项目等中的缺陷类型信息的指针。

如果您只有 PDF 报告,则在报告的每个部分都有一些关于修复缺陷的基本指南。

您也可以直接联系 Veracode 支持以获得更多帮助。

于 2012-05-12T09:41:39.007 回答