问题标签 [crlf-vulnerability]

在对我的代码执行 Vera 代码扫描后，报告了一个缺陷，在下面的代码中显示“HTTP 标头中 CRLF 序列的不正确中和（'HTTP 响应拆分 - CWE ID 113'）。如何修复此代码。

在这里，我试图在HttpServletResponseWrapper对象上添加 Cookie。报告的缺陷代码是 super.addCookie(cookie)。如何摆脱这个发现。请帮忙。

我浏览了 OWASP ZAP，发现 ZAP 需要 Web 应用程序的端点。但是，我仍然尝试提供我们微服务的 REST API 的 URL，但我收到了 404 错误。我认为 OWASP ZAP 扫描 HTTP GET 方法并且不允许 POST 方法或其他方法。

下面是ZAP的截图： 链接到ZAP的截图

我知道有一篇与测试 REST API 相关的帖子，但该帖子我并不完全清楚，也与微服务无关。请推荐任何更好的开源软件以及我们可以轻松进行 VAPT 测试的方法。

谢谢

在 Veracode 报告中，我在一些 java 文件中收到错误 CWE 93。在静态扫描的实例中，一些代码是

1. MimeMessage msg = new MimeMessage(session); msg.setFrom(new InternetAddress(msmtpfrom));

2.msg.setRecipients(Message.RecipientType.TO, address);

我该如何解决？

提前致谢

我使用 VeraCode 来验证我的代码，在验证中，我发现了一个漏洞类型 CRLF Injection，因为我使用了一些 cookie。我试图用文件中的标签或后面的 C# 代码来解决httpOnlyCookies=true，web.config但CookieName.HttpOnly = true它没有通过 VeraCode 中的验证。你有什么主意吗？

这是我的代码，我在超类 UserInfo.cs 中声明了 cookie：

网络配置：

我用 veracode 扫描了项目，它给出了 CWE ID 93（CRLF 注入）的问题，这个问题发生在下面一行 -

Veracode 在上述代码的第二行标记了问题 93。 用户名是从请求对象中解析出来的，请求对象是字符串缓冲区

所以我的一位同事建议我应该使用 validate 方法来删​​除 CRLF 字符。地址对象上的验证方法会删除 CRLF 分隔符吗？

我在 Veracode 平台上对我的代码进行了 SAST 扫描，我在 Java 邮件功能中发现了这个漏洞，我用它来从我的应用程序发送邮件。以下是即将出现的漏洞 - CRLF 序列的不正确中和（'CRLF Injection'）（CWE ID 93）。

message.setSubject(subjectOfEmail);

我听说我们可以使用 ESAPI 库，但我找不到合适的验证函数。有人请帮我重新解决这个问题，这样它就不会再次出现在扫描中。

我正在尝试从我的服务器中保存数据。我正在使用 HttpClient 来获取我的数据。但有时未获取数据，并且在块的末尾显示了名为 crlf 的错误。我尝试在此链接之后更改 jmeter 属性中的缓冲区大小，但问题未解决。我在下面给出我的代码。找不到解决方案。需要帮忙。

FavouriteCategoriesJsonParser.java

FatchData.java

我在创建新的 Reactjs 应用程序时遇到错误，此错误消息显示在命令行上 => 在 1620 个扫描包中发现了 1 个低严重性漏洞

目前我的应用程序由于一个第三方组件而未能通过 Veracode 扫描：“netty-handler.4.1.48.FINAL.jar”，目前没有可用的安全版本。

我已经查看了 Veracode 报告，但我找不到有关该组件在何处使用的任何具体信息。

我还浏览了项目中的所有文件，但找不到“netty-handler”被导入或使用的位置。

有什么简单的方法可以找出在我的应用程序中使用“netty-handler”的位置，以便我可以使用其他东西

这是我的pom文件：

我一直面临“SLF4J 用于将 CRLF 字符包含到日志消息中”的 Sonarqube 漏洞，这导致质量门失败。

我正在尝试记录消息，并且在整个服务中存在的所有记录器消息中，声纳专门针对 5 条消息抱怨此错误。（附在下面的屏幕截图中）。

在此处输入图像描述

我已经尝试过重写这些日志消息等等，但到目前为止还没有任何效果。谁能帮我摆脱这个 Sonarqube 漏洞？