问题标签 [crlf-vulnerability]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 如何修复 HTTP 标头中 CRLF 序列的不正确中和
在对我的代码执行 Vera 代码扫描后,报告了一个缺陷,在下面的代码中显示“HTTP 标头中 CRLF 序列的不正确中和('HTTP 响应拆分 - CWE ID 113')。如何修复此代码。
在这里,我试图在HttpServletResponseWrapper对象上添加 Cookie。报告的缺陷代码是 super.addCookie(cookie)。如何摆脱这个发现。请帮忙。
spring-boot - 我们如何在微服务中使用 OWASP ZAP 进行 VAPT?
我浏览了 OWASP ZAP,发现 ZAP 需要 Web 应用程序的端点。但是,我仍然尝试提供我们微服务的 REST API 的 URL,但我收到了 404 错误。我认为 OWASP ZAP 扫描 HTTP GET 方法并且不允许 POST 方法或其他方法。
下面是ZAP的截图: 链接到ZAP的截图
我知道有一篇与测试 REST API 相关的帖子,但该帖子我并不完全清楚,也与微服务无关。请推荐任何更好的开源软件以及我们可以轻松进行 VAPT 测试的方法。
谢谢
java - CRLF 序列的不正确中和('CRLF Injection')(CWE ID 93)
在 Veracode 报告中,我在一些 java 文件中收到错误 CWE 93。在静态扫描的实例中,一些代码是
MimeMessage msg = new MimeMessage(session); msg.setFrom(new InternetAddress(msmtpfrom));
2.msg.setRecipients(Message.RecipientType.TO, address);
我该如何解决?
提前致谢
c# - CRLF 注入问题(使用 cookie)
我使用 VeraCode 来验证我的代码,在验证中,我发现了一个漏洞类型 CRLF Injection,因为我使用了一些 cookie。我试图用文件中的标签或后面的 C# 代码来解决httpOnlyCookies=true
,web.config
但CookieName.HttpOnly = true
它没有通过 VeraCode 中的验证。你有什么主意吗?
这是我的代码,我在超类 UserInfo.cs 中声明了 cookie:
网络配置:
java - 将验证 InternetAddress 对象上的方法删除 CRLF 注入问题
我用 veracode 扫描了项目,它给出了 CWE ID 93(CRLF 注入)的问题,这个问题发生在下面一行 -
Veracode 在上述代码的第二行标记了问题 93。 用户名是从请求对象中解析出来的,请求对象是字符串缓冲区
所以我的一位同事建议我应该使用 validate 方法来删除 CRLF 字符。地址对象上的验证方法会删除 CRLF 分隔符吗?
java - ESAPI 库中是否有验证可以确保 CWE-93 漏洞不会出现在 veracode SAST 扫描中?
我在 Veracode 平台上对我的代码进行了 SAST 扫描,我在 Java 邮件功能中发现了这个漏洞,我用它来从我的应用程序发送邮件。以下是即将出现的漏洞 - CRLF 序列的不正确中和('CRLF Injection')(CWE ID 93)。
message.setSubject(subjectOfEmail);
我听说我们可以使用 ESAPI 库,但我找不到合适的验证函数。有人请帮我重新解决这个问题,这样它就不会再次出现在扫描中。
android - crlf 预计在块 httpclient 的末尾
我正在尝试从我的服务器中保存数据。我正在使用 HttpClient 来获取我的数据。但有时未获取数据,并且在块的末尾显示了名为 crlf 的错误。我尝试在此链接之后更改 jmeter 属性中的缓冲区大小,但问题未解决。我在下面给出我的代码。找不到解决方案。需要帮忙。
FavouriteCategoriesJsonParser.java
FatchData.java
javascript - 在创建新的 reactjs 应用程序期间,在 1620 个扫描包中发现 1 个低严重性漏洞
我在创建新的 Reactjs 应用程序时遇到错误,此错误消息显示在命令行上 => 在 1620 个扫描包中发现了 1 个低严重性漏洞
security - 如何找到在我的项目中使用库的位置来修复 Veracode 安全漏洞
目前我的应用程序由于一个第三方组件而未能通过 Veracode 扫描:“netty-handler.4.1.48.FINAL.jar”,目前没有可用的安全版本。
我已经查看了 Veracode 报告,但我找不到有关该组件在何处使用的任何具体信息。
我还浏览了项目中的所有文件,但找不到“netty-handler”被导入或使用的位置。
有什么简单的方法可以找出在我的应用程序中使用“netty-handler”的位置,以便我可以使用其他东西
这是我的pom文件:
java - Sonarqube 漏洞 CRLF 字符转换为日志消息 - Java
我一直面临“SLF4J 用于将 CRLF 字符包含到日志消息中”的 Sonarqube 漏洞,这导致质量门失败。
我正在尝试记录消息,并且在整个服务中存在的所有记录器消息中,声纳专门针对 5 条消息抱怨此错误。(附在下面的屏幕截图中)。
我已经尝试过重写这些日志消息等等,但到目前为止还没有任何效果。谁能帮我摆脱这个 Sonarqube 漏洞?