问题标签 [veracode]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net-mvc - MVC 安全违规 - 对动态确定的对象属性的不当控制修改
我们正在开发一个 MVC 5 应用程序,当我们使用Veracode运行安全扫描时,我们得到以下缺陷说
“对动态确定的对象属性的不当控制修改”
并添加此链接作为修复参考。
尝试使用 HTTP Post 为我的控制器功能实现绑定属性,问题已解决。
那么在ASP.NET MVC中是否必须对所有 Post 使用 Bind 属性以避免安全违规?
或者我可以忽略这个缺陷或任何其他可以解决这个问题的替代方法,因为硬编码和维护绑定属性在实时应用程序中真的变得很困难。
请分享您的观点。
string - 如何修复 Veracode 警告:“在字符串比较中使用错误的运算符 (CWE ID 597)”
在 Veracode 静态扫描之后,出现“在字符串比较中使用错误运算符 (CWE ID 597)”的警告
对于以下代码:
如何修复警告?
java - Veracode CWE 384 会话固定
我正在修复 veracode 静态扫描发现的缺陷,我发现了几个缺陷会话修复,如下所示:
- request.getSession().get/set Attribute();
OWASP 说我应该在注销和登录后使会话无效,但是这些行周围没有登录。我不明白为什么在这行中检测到这个缺陷。你能帮我理解为什么会发生这种情况以及如何解决它吗?
static-analysis - 通过 Veracode 的静态扫描避免扫描第三方库
我正在修复我的应用程序的 Veracode 静态扫描结果中的缺陷,并且我意识到它正在分析除了我的源代码之外的第三方库。例如,它正在查看 Apache Commons 库并发现其中的缺陷。
我如何指示 Veracode 不要扫描那些第三方库?
veracode - VeraCode Scan:我如何“提出”100 多个缺陷?
我已经提交了几个关于缺陷的提案,但我不知道 VeraCode Web UI 将它们保存在“内存”中,直到我提交它们。所以发生的事情是,我现在有 100 多个缺陷,其中包含 7 个提案(第一个是缺陷本身的一个,另外 6 个是通过选择下一个缺陷并为它提出的)。
我怎样才能批量“取消提议”或清理我所有的缺陷提议(即重新开始)?
java - 安全性:CWE-201:使用 openStream 安全读取属性文件的正确方法是什么?
我正在为从 Veracode 标记的 CWE-201 提出一个解决方案。
背景:
CWE-201:通过发送数据公开信息
通过发送数据 漏洞ID:201(漏洞变体)的信息暴露状态:草案 +描述 描述摘要通过发送数据意外暴露敏感信息是指传输本身敏感或对进一步利用系统通过标准数据通道。
阶段:架构和设计 策略:权限分离 将系统划分为具有“安全”区域,可以明确地绘制信任边界。不要让敏感数据超出信任边界,并且在与安全区域外的隔间交互时始终要小心。确保在系统设计中内置了适当的划分,并且划分用于允许并进一步加强权限分离功能。架构师和设计人员应该依靠最小特权原则来决定何时使用和放弃系统特权。
此外......这对编码的人意味着什么,我正在尝试使用java找到一些实用的解决方案来解决这个问题。
我可以说的是,以下代码将导致 veracode 标记 cwe-201:
更多信息:
阶段:实施 确保设计人员对需求中指定的任何可能敏感数据进行验证,以确保它是计算的风险或在其他地方得到缓解。应删除该功能不需要的任何信息,以降低开销和发送安全敏感数据的可能性。
阶段:系统配置 设置默认错误消息,以便意外错误不会泄露敏感信息。
我已经通过创建一个自定义运行时异常来完成系统配置中所述的建议,该异常在这里吞噬了 IOException ......但 Veracode 仍然标记了它。
该代码如下所示:
}
并将方法更新为如下所示:
翻阅veracode报告,我发现了以下内容:
攻击向量:java.net.URL.openStream
说明:应用程序调用 java.net.URL.openStream() 函数,这将导致数据被传输出应用程序(通过网络或其他介质)。此数据包含敏感信息。对包含潜在敏感数据的 filePath 对象调用了 openStream()。潜在敏感数据源自对java.lang.system.getproperty的较早调用。
补救措施:确保敏感数据的传输是有意的,并且不违反应用程序安全策略。此漏洞被归类为低严重性,因为它只影响机密性,而不影响完整性或可用性。但是,在移动应用程序的上下文中,信息泄露的重要性可能要大得多,尤其是在与用户期望或数据隐私政策不一致的情况下。
问题 事实证明,当您以这种方式读取驻留在服务器上的属性文件时,您正在间接使用 System.getProperties()。
将其公开为流被视为安全威胁
话虽如此,加载属性文件的正确方法是什么,以便您的应用程序可以以veracode认为“安全”的方式加载环境配置信息?
c# - “不受信任的初始化”缺陷 - 创建 SQL 连接时
我做了以下...
客户端正在使用 VERACODE 工具进行代码分析,并且 VERACODE 在
此外,dbConfig正在初始化,如下所示......
为了修复这个缺陷,我还需要做什么?同样根据此链接,我正在使用创建连接字符串的SqlConnectionStringBuilder安全字符串创建连接字符串。
提前致谢...
java - 如何解决 CWE 117 问题
我的产品中报告了 CWE 117 问题。
CWE 117 问题是软件没有正确清理或错误清理写入日志的输出,我得到的一种可能的解决方案是在记录时添加以下内容。
我的问题是 log4j 中是否有任何中心位置可以通过单个更改来解决此问题?
java - Veracode XML 外部实体参考 (XXE)
我在我的 veracode 报告中发现了下一个发现:XML 外部实体引用 ('XXE') (CWE ID 611) 的不当限制,指的是下面的下一个代码
...
...
我一直在研究,但我还没有找到这个发现的原因或让它消失的方法。你能告诉我怎么做吗?
.net - HTTP 标头中 CRLF 序列的不正确中和(“HTTP 响应拆分”)
在研发之后我没有解决这个问题。请在下面找到一段代码并帮助我解决这个 veracode 缺陷。
描述- 函数调用包含 HTTP 响应拆分缺陷。将未经过滤的用户提供的输入写入 HTTP 标头允许攻击者操纵浏览器呈现的 HTTP 响应,从而导致缓存中毒和跨站点脚本攻击。