问题标签 [veracode]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
1725 浏览

java - java删除文件后如何释放资源?

我编写代码来删除文件,就像:

但是 Veracode:给我一些关于资源未释放的警告。我想知道删除文件后如何释放资源。

Veracode 错误如下

验证码:

描述
应用程序未能释放(或错误地释放)系统资源,然后才能重新使用。这种情况经常发生在数据库连接或文件句柄等资源中。大多数未释放的资源问题会导致一般的软件可靠性问题,但如果攻击者可以故意触发资源泄漏,则有可能通过耗尽资源池来发起拒绝服务攻击。

建议 在创建或分配资源时,开发人员负责正确释放资源并考虑所有可能的到期或失效路径。确保所有代码路径正确释放资源。

0 投票
4 回答
4806 浏览

java - 使用 veracode 工具的代码中的安全漏洞

我在 veracode 工具中运行了我的安全合规应用程序。每当该工具发现任何日志记录时,它都会被检测为代码中
的缺陷并且该缺陷在下面引用

日志输出中和不当

描述

函数调用可能导致日志伪造攻击。将未经处理的用户提供的数据写入日志文件允许攻击者伪造日志条目或将恶意内容注入日志文件。损坏的日志文件可用于掩盖攻击者的踪迹或作为攻击日志查看或处理实用程序的传递机制。例如,如果 Web 管理员使用基于浏览器的实用程序来查看日志,则可能会发生跨站点脚本攻击。**

在我的日志中,我确实打印了来自其他界面的 xml,没有与应用程序关联的 GUI,所以我如何才能消除这个缺陷。

如果这不是提出这个问题的正确论坛,请告诉我。谢谢

0 投票
4 回答
4017 浏览

asp.net - ASP.NET Veracode 扫描问题

我们的客户端使用 Veracode 扫描工具来扫描 ASP.NET 应用程序。除了以下问题,我们已经解决了许多缺陷。

这是对应的代码:

文件名或路径的外部控制 (CWE ID 73)

它显示错误File.Delete。我们已经尝试清理文件路径并且也使用过Path.GetFullpath,但只是徒劳无功。

0 投票
1 回答
7849 浏览

java - 文件名或路径安全问题的外部控制

我有一个代码

fileName正在从其他细节做准备。但是,我越来越

文件名或路径的外部控制

当我将代码提交到安全扫描工具“Vera Code”时出现缺陷。有人可以帮我解决这个问题。

0 投票
4 回答
29565 浏览

java - 如何修复 Java Web 应用程序中的信任边界冲突漏洞

我收到来自 Veracode 的信任边界违规。我的代码是

如何验证userName以避免违反信任边界的缺陷?

0 投票
2 回答
6565 浏览

java - 如何修复 Java Web 应用程序中通过已发送数据的信息暴露漏洞

Information Exposure通过Sent Data缺陷获得了 Veracode。我的代码是:

System.getProperty(EPMIConstants.COMPANY_NAME)从服务器本身硬编码的 JVM 参数中获取其值。

变量companyName导致了这个缺陷。

有人可以告诉我如何避免这个缺陷吗?

0 投票
1 回答
785 浏览

veracode - 什么是 CWE-78 中提到的 Windows 的特殊元素 操作系统命令 Veracode 中使用的特殊元素的中和

我的代码已被 Veracode 静态分析标记为易受 CWE-78 攻击。

在我找到的所有关于该漏洞的白皮书中,他们都提到了特殊元素,但没有一个真正说明特殊元素是什么。

在 windows 平台上,我认识到 & 和 && 是命令分隔符。针对查找 & 和 && 实例的正则表达式进行验证是否足以满足静态分析?

0 投票
3 回答
11301 浏览

java - 如何解决不正确的资源关闭或释放问题

我提交了 Veraocode 安全测试工具的代码,我在下面的代码中得到了这个不正确的资源关闭或释放:

有人请帮我解决这个问题...

0 投票
2 回答
14369 浏览

java - 如何解决 CWE-259:使用硬编码密码?

我将我的应用程序 EAR 提交给 Veracode 安全扫描工具,并在以下代码中发现了这个缺陷:

有人请帮助我解决 CWE-259:使用硬编码密码漏洞。

0 投票
1 回答
2132 浏览

java - 如何解决 Java EE 不良实践:直接管理连接

我将我的 Java 应用程序 EAR 提交给 Veracode 安全测试工具,并在以下代码中发现了 API 滥用 - 直接连接管理缺陷:

有人请帮我解决这个问题。