问题标签 [veracode]

我已将我的 JAVA EAR 提交给 Veracode 安全工具，并在以下代码中遇到密码明文存储问题：

在属性文件中，我存储了这个密码的值。
有人请帮我解决这个问题。

通常，在我完成编码后，我总是使用veracode检查安全漏洞（主要是 XSS） 。大多数情况下，在我的 JSP 中，如果我有这样的代码：<%=bean.getValues()%>它被标记为 XSS 易受攻击。为了解决它，我主要使用 JSTL 标签，如<c:out>.

现在考虑这种情况，我有一个 JSP，我正在加载一个<iframe>. 与上面显示的代码相同。Veracode 不知道该 jsp 显示在<iframe>其中，因此会将这段代码作为 XSS 漏洞抛出。<iframe>但是，如果这样的一段代码在一个<iframe>.

我只是有点困惑。任何帮助将不胜感激。

通常我使用 veracode 扫描我的代码更改以检测安全漏洞。现在数据库中有一个字符串，我在一个名为的字符串中收集它custFunctionality，以前我在 jsp 中将其显示为：

好吧，veracode 扫描了它，让我知道它构成了安全缺陷。

所以我c: out在这里用作：

现在这里的问题是该字符串由与html相关的标记和我需要在页面中显示的特殊字符组成，如果我不提供escapexml='false'这些字符并且标记不会实现。但是，由于代码中存在escapexml='false'字符串，这构成了veracode的安全缺陷，因为我在重新扫描文件后发现了它。

谁能建议我摆脱这个泥潭的替代解决方案？

我有一个 C# 应用程序，我在其中上传图像并将其存储在目录中。我正在检查文件，以便在上传之前允许一种图像格式。当我使用 Veracode 测试我的模块时，它显示目录遍历问题 CWE ID 73.. 我不确定它是否正确，因为我在上传之前检查文件类型

我上传文件的代码如下

然后我将值存储到数据库中并获取行的 ID 号并创建文件名并将此文件从临时文件夹移动到主文件夹

请让我知道它有什么问题......它是否容易受到目录遍历问题的影响

我们正在考虑在我们的 IDE（eclip）中使用 veracode 插件。但是我们的开发环境是“离线”的——意味着无法访问互联网。

veracode 插件是否在“离线”模式下运行（扫描并显示安全漏洞）？

我这里有一个情况：我有一个页面<c:out>用于显示来自 DB 的数据，其中的内容有一些特殊字符作为注册商标。我在我的代码中使用 java、jsp、jstl。注册商标符号显示为：

®

进口非常完美，例如：

如果我使用下面的代码打印，它会显示正确的注册标记，但事实是，它会导致安全违规。

我正在使用 veracode 来扫描我的代码，因为我在这里给出了 : escapeXml="false"，veracode 指出这是一个漏洞。

因此，当我删除 escapeXml 时，它会显示如下：

请建议我解决这个问题的方法？任何帮助都深表感谢。

对我们其中一个程序集的 Veracode 分析发现，使用System.Windows.AssemblyPart.Load(Stream)是一个“严重”的安全漏洞，因为它允许操作系统命令注入或CWE-78。

我们在动态加载 XAP 模块时使用 AssemblyPart.Load：从资源流中读取 AppManifest，解析出 AssemblyPart，然后加载它们。

首先，我不清楚为什么 Load(stream) 是一个安全漏洞，因为我找不到任何描述这个漏洞的东西，因为它与 Silverlight 相关。

如果它对操作系统有潜在危险，如何缓解？

我正在测试的代码中违反了信任边界。该代码在会话中添加表单，并且由于违反信任边界而存在缺陷

我违反了以粗体显示的代码。

我怎样才能解决这个问题？我不确定在哪里添加验证。它是一种在 Action 类执行方法中创建的新表单，并且从 request 和 db 填充值

要在客户端的浏览器中打开 pdf 文件，我使用以下服务器端 C# 代码

现在的问题是 Veracode 在这条线上给出了 XSS 缺陷（CWE ID 80）。

谁能帮我解决这个缺陷？

我有一个图片库，并正在以下列方式呈现图像

我的GetImage()函数在我将获取图像并将其返回的位置下方。

这是安全违规吗？错误显示在返回文件的行。

有没有更好的方法可以处理这个问题？

我怎样才能避免这种违规行为？

任何建议都非常感谢

谢谢