我的代码已被 Veracode 静态分析标记为易受 CWE-78 攻击。
在我找到的所有关于该漏洞的白皮书中,他们都提到了特殊元素,但没有一个真正说明特殊元素是什么。
在 windows 平台上,我认识到 & 和 && 是命令分隔符。针对查找 & 和 && 实例的正则表达式进行验证是否足以满足静态分析?
问问题
785 次
我的代码已被 Veracode 静态分析标记为易受 CWE-78 攻击。
在我找到的所有关于该漏洞的白皮书中,他们都提到了特殊元素,但没有一个真正说明特殊元素是什么。
在 windows 平台上,我认识到 & 和 && 是命令分隔符。针对查找 & 和 && 实例的正则表达式进行验证是否足以满足静态分析?