问题标签 [veracode]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
spring - 在 Spring MVC 控制器中防止 XSS
您好,在我的项目 Veracode 报告了一个 XSS 问题 CWE ID 80。在我的请求处理程序方法中:
那么executeAjax来自一个抽象类,有不同的实现呢?在这些实现中,来自表单的用户输入被获取并被操作以构造返回的字符串。
所以我的问题是:Veracode 的假设是在实现中可以有 XSS 吗?还是一般的东西?- 如何防止这种情况?我总是使用转换输入数据并且在用户输入时不返回它?- 那么如何预防呢?- 我是否必须从 HttpServiceRequest 中转义所有标头/请求参数?
编辑: 我是否必须使用以下过滤器: SecurityWrapperRequest
c++ - 如何通过 msbuild 关闭编辑并继续(对于 Veracode)
我知道这个问题没有完全的意义,因为我不是在 Visual Studio 内部构建的。我正在尝试提交我的二进制文件以供Veracode进行静态分析,并且我使用以下方式构建msbuild:
我可以在我的 Visual Studio 环境中关闭此功能,方法是转到工具 > 选项 > 调试 > 编辑并继续,然后取消选中“启用编辑并继续”。但是,这似乎不会影响解决方案文件。
当我上传生成的二进制文件时,我收到来自 Veracode 的警告,提示我使用了“编辑并继续”。我觉得必须有一个选项可以通过msbuild.
一些相关的帖子并没有完全解决这个问题:
关于如何禁用“编辑并继续”的任何想法msbuild?
javascript - 空字符串值上的 Veracode XSS
验证码扫描通过后。我在我的 jsp 中报告了针对 XSS 漏洞的 CWE ID 80 的 XSS 问题:
我不明白是哪里出了问题?我必须转义空字符串吗?或 styleId 或两者?我必须使用 EASPI.encodeForHTML 吗?
c# - Veracode 易受攻击的加密问题
我正面临 Veracode 指出的加密安全问题。请检查下面并帮助我解决这个问题。
java - Veracode 问题 - 通过发送的数据暴露信息 (CWE ID 201)
以下是一段代码
在“Transport.send(message);”行中 我收到了维拉代码问题。如何解决问题。
validation - 清理由 Spring 等第三方框架记录的输入
我们在我们的应用程序中使用第三方 jar,例如 Spring Cloud Eureka。
我们最近进行了 Veracode 测试,发现 eureka 和 Ribbon 客户端 jars 存在很多问题,它们是 Spring cloud Eureka 的一部分。
其中大部分问题是,日志输出中和不当 (CWE ID 117)
我了解 CWE ID 117 是什么。我们需要在记录不受信任的数据之前对其进行清理。
但是,我的问题是,因为它是第三方库而不是应用程序的一部分,所以我无法修复它们。
有没有办法使用任何 Configuration /Aspects/Interceptor 以最小的努力修复它,而不是使用第三方库中的问题来更改每个此类。
我觉得这需要更多的时间,也需要spring cloud团队的帮助,我可能在短时间内无法得到。
有人可以帮助我解决这个问题。否则,我们可能无法在我的应用程序中使用第三方 jar,这成为一个问题,因为已经花费了巨大的精力使用第三方库。
java - 在 ScramSha1Authenticator 中使用强算法 - 根据 Veracode?
我们正在使用 Mongo DB java driver 3.4.1 jar。当我们进行 Veracode 测试时,我们发现:
ScramSha1Authenticator.java 第 215 行正在使用损坏或有风险的加密算法
是否有任何已知的解决方案/解决方法?
由于这是一个关键问题,我们必须在投入生产之前解决它。
jenkins - 是否有插件可以在 Jenkins 中显示 Veracode 结果?
我们目前在 Jenkins 中构建后运行 Veracode 扫描。我一直无法找到一种方法来显示这些扫描的结果,以便我们的团队在 Jenkins 中有一个很好的快照视图。理想情况下,我们希望显示统计数据,例如高漏洞、中漏洞等的数量。至少,能够允许登录用户下载报告作为建造。
java - Veracode 拒绝加密算法 - 我应该使用哪个?
我在维护阶段继承了一个 Java (Spring) 项目,该项目刚刚第一次通过 Veracode,High我们剩下的唯一缺陷是报告“弱或损坏”的加密算法。我更愿意花时间学习更多关于密码学的知识,但是这个项目是在野外进行的,所以我需要从一个更直接的解决方案开始,以确保这个应用程序的安全。
这是 Veracode 专门报告的行:
Veracode 不提供以下信息:
- 为什么这个算法被破坏/弱
- 哪些算法可能会产生足够的替代品
- 选择适当算法时需要注意的任何其他问题
我可以用什么代替"PBEWITHSHA1ANDDESEDE"?这是否需要其他重构,还是像字符串文字交换一样简单?我很乐意提供更多规范来帮助我们缩小最佳加密算法的范围,但由于 Veracode 没有提供任何规范,唯一的规范是“满足 Veracode 的加密算法”。
c# - Veracode 为 C# 中的公共字符串属性引发“技术特定的输入验证问题 (CWE ID 100)”
Veracode 为 C# 中的公共字符串属性抛出“技术特定的输入验证问题 (CWE ID 100)”。
这些是我已经尝试过的格式,并且都存在相同的缺陷。
选项1
选项:2
选项:3
谁能告诉我为什么?