0

我的代码已被 Veracode 静态分析标记为易受 CWE-78 攻击。

在我找到的所有关于该漏洞的白皮书中,他们都提到了特殊元素,但没有一个真正说明特殊元素是什么。

在 windows 平台上,我认识到 & 和 && 是命令分隔符。针对查找 & 和 && 实例的正则表达式进行验证是否足以满足静态分析?

4

1 回答 1

0

对所有测试执行的原则规则是它应该是白名单测试。

只允许验证输入。

黑名单测试并不全面,只会检查已知字符

于 2013-06-04T10:02:00.430 回答