1

我正在修复 veracode 静态扫描发现的缺陷,我发现了几个缺陷会话修复,如下所示:

  • request.getSession().get/set Attribute();

OWASP 说我应该在注销和登录后使会话无效,但是这些行周围没有登录。我不明白为什么在这行中检测到这个缺陷。你能帮我理解为什么会发生这种情况以及如何解决它吗?

4

1 回答 1

1

OWASP 说的是对的,您需要在注销时使会话无效,这更多的是通用评论。正如您正确提到的,这些代码行周围没有日志记录,我看到您正试图让会话设置并从中检索值。

如果您发布更多代码以更好地理解它会很好。

您可以在 veracode 中将其标记为误报(或将修复提供为无修复并提供适当的缓解说明),以防您确定它是否不会对系统产生太大影响。

于 2015-05-07T09:57:29.377 回答