问题标签 [veracode]

Veracode 报告了我的代码存在以下问题：

cweid201

信息泄露：通过发送数据暴露信息

在以下 2 种情况下要解决的问题

1）错误是针对该行给出的

代码片段是：

2）错误是针对该行给出的

代码片段是：

谁能解释我如何解决上述情况下的问题？

我已经阅读了 VeraCode API Wrapper 文档的详细信息。我遵循了与“从 Visual Studio 引用 Veracode API Wrapper”相关的所有步骤。

根据这些步骤，我能够创建一个 UploadAPIWrapper 类的实例，如下所述：

var uploadWrapper = new UploadAPIWrapper();

我能够看到包装器可以执行的所有简单操作，如下所述：

我还能够在命令提示符中看到复合操作 uploadandscan，如下面的屏幕截图中所述：

但是无法看到包装器可以执行的复合操作，例如上传和扫描。

任何人都可以在这里给我建议，以防我错过任何先决条件。

谢谢和问候， 桑托什·库马尔·帕特罗

我们在登录页面中使用 Web 控制适配器。最近我们在我们的 Web 应用程序上运行 VeraCode。在下面的函数中，我们得到了 CWE80，网页中与脚本相关的 HTML 标记的不当中和（基本 XSS），上线

以下是 WebControlAdapterExtender 类中的函数。

有没有人有任何建议如何解决这个问题？

我们最近运行的 VeraCode 指出了以下方法：

什么是修复该方法的好解决方案，以便 VeraCode 停止抱怨？

谢谢

我们最近运行 VeraCode，但它失败了以下方法：

VeraCode 在最后一行失败：“ writer.WriteAttribute("target", targetValue);"

我能做些什么来修复它？

谢谢

我们刚刚收到有关我们交付的 J2ME 应用程序安全性的反馈，而且似乎 Veracode 将在 Resources.Open("/res/resfile.res") 中调用的 getClass().getResourceAsStream() 视为安全漏洞.

http://www.cvedetails.com/cwe-details/73/External-Control-of-File-Name-or-Path.html

这里的问题是资源不是由用户输入给出的，而是以我在此处显示的方式调用的。但是，出于某种原因，我们正在处理的公司不会接受误报。

是否有任何替代方法来加载资源，使其不使用 getResourceAsStream 并通过 Veracode 测试？

运行 VeraCode 后，在以下代码片段中报错“Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting')”：

报告指向包含以下代码的行：Response.Cookies.Set(languageCookie); 可以使用什么修复程序来消除该错误？

谢谢

我继承了一个遗留应用程序，下面给出了一段代码。

Veracode 在“out.println()”处抛出异常“网页中与脚本相关的 HTML 标记的不正确中和（基本 XSS）”。

谁能让我知道这个问题应该如何解决？任何帮助将不胜感激。

我已经通过这个链接。[如何修复“HTTP 标头中 CRLF 序列的不正确中和（'HTTP 响应拆分'）”

但这并没有给我解决方案。

我的代码还给出了错误“HTTP 标头中 CRLF 序列的不正确中和（'HTTP 响应拆分'）CWE ID 113”。

我的代码片段是::

在验证码扫描中，最后一行给出了错误。不知道该怎么做。

对于应用程序安全测试，我必须在 Veracode 和 FxCop 之间做出选择。显然 Veracode 是有代价的，而 FxCop 是免费的。

但是要知道 FxCop 的效率，我必须将我的结果与 veracode 提供的免费分析结果进行比较。这两个测试都是针对同一个 dll 运行的。

我如何知道哪一个是跨站点脚本错误或 FxCop 中的 CRLF 注入？有没有可用的指南？如果我在两者中都看到相同的错误，有什么方法可以破译？

任何帮助表示赞赏。