问题标签 [veracode]

我在 asp.net 中有一个应用程序，它使用 Veracode 扫描来检测应用程序中的任何安全漏洞。扫描我的一项功能时显示以下错误“文件名或路径的外部控制”。有谁知道如何解决这个错误？

示例代码：

我已尝试验证 fullPath 参数是否存在无效字符，请参见下面的 url。但问题仍然存在。谁能帮我解决这个问题？谢谢。

http://www.howtoasp.net/asp-net-security-tutorials/how-to-control-path-composition-to-protect-asp-net-web-application-from-directory-traversal-vulnerability-in- C/

I have a class which inherits from a System.IO.StringWriter. A code snippet of the class is as shown below:

A veracode scan showed that _httpResponse.Write(input) would cause "Information Exposure through a Error Message". Without mitigating this issue, is there a (alternative) way to resolve this issue? Would sanitizing the parameter "input" help? in that case, would encoding the input suffice? Please advice.

I'm attempting to have an iOS application scanned by Veracode: an application security platform. In order for them to scan an .IPA, the .IPA needs to contain debug symbols.

For the Archive build-configuration and project/target being used, I've specified:

• Generate Debug Symbols : YES
• Strip Debug Symbols During Copy : NO
• Dead Code Stripping : NO
• Symbols Hidden By Default : NO
• Strip Linked Product : NO

Yet, Veracode still gives me the following error when submitting the .IPA:

Primary Files Compiled without Debug Symbols - 1 File

Is there another step I need to take to create debug symbols, perhaps wrt archiving?

我正在尝试获取我的 web 服务应用程序的服务器详细信息

我最近运行了 veracode，但我遇到了getRemoteHost()关于如何防止它的任何建议的问题？

我正在尝试用我的代码修复一些 XSS 错误。#getEmailRecord 是包含问题的行。如何修复这样的一段代码？错误：网页中与脚本相关的 HTML 标记的不正确中和（基本 XSS）。Veracode 清洗方案：coldfusion.runtime.CFPage.HTMLEditFormat

谢谢！这是我第一次做这样的事情，所以非常感谢任何帮助。

我的应用程序Process.Start用于打开另一个应用程序来运行。VeraCode [一种安全软件扫描工具] 将此命令报告为OS Command Injection Vulnerable。我想得到一些评论。我在网上找到了很多关于过滤输入或限制程序名称的信息；但是，我很想知道是否还有其他使用方法Process.Start？

编辑：感谢您的评论，这是示例之一，是的，它正在获取用户的输入：

谢谢！

好的，所以我在我的 Web API 中使用 ServiceStack OrmLite 来满足我的数据需求。当我将我的代码提交给 VeraCode 进行代码安全扫描和验证时，结果报告显示 OrmLite 显示了潜在的 SQL 注入攻击向量。

我不确定如何分类。我应该用 EntityFramework 替换 OrmLite 吗？

我在下面的行中遇到了验证码问题

问题出现在<%=viewBean.getStudName()%> 这里，报告的问题是“网页中与脚本相关的 HTML 标记的不正确中和（基本 XSS）。我已经尝试了 cwe.mitre.org 中给出的修复，但我无法正确应用它。任何人都可以帮助解决这个问题？

我的项目客户希望所有应用程序都与 Veracode 兼容....在将其用于 Veracode Staic Sc​​an 之后，发现有 326 个缺陷需要作为跨站点脚本错误的一部分进行修复。

给出 Scan 的应用程序基本上是使用ASP Classic (VBScript) 构建的。

报告的一些行是：

可以应用什么类型的修复来解决这些跨脚本缺陷？

我有一个 mvc 应用程序，其中这一行存在低验证码缺陷

通过发送的数据暴露信息

uri 的值为 "{ https://www.p6.experian.nl/cgi-bin/retrieve?PROCESSID=150&PREFIX=&INITIALS=B&SURNAME=Klomp&DATEOBIRTH=31031964&GENDER=&POSTALCODE=3846BN&HOUSENUM=22&HOUSEEXT=&PHONENUMBER=&FORMAT=XML&FULLSIZE=TRUE&HOUSEEXTIGNORE =TRUE&D-​​INDUSTRY_SEC=2&D-DATA_LEVEL=1&D-LIFE_CYCLE=1&D-VERSION_NUM=2 }"

有人可以帮我解决这个缺陷吗？