问题标签 [veracode]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 使用 java.security.SecureRandom 生成随机词时 Veracode 的熵不足
我创建了一个使用 org.apache.commons.lang.RandomStringUtils 生成随机单词(字母数字)的类。
此代码运行良好,但是当我将其提交给Veracode 时,我收到一个中等错误“熵不足(CWE ID 331)”
我认为使用 SecureRandom 就足以解决此错误,但事实并非如此,我也不知道为什么。
为什么使用 SecureRandom 不够好或不够安全?
有没有办法使用 org.apache.commons.lang.RandomStringUtils 而不会让 Veracode 不开心?是否有任何其他安全库可用于生成安全的随机字母数字词?
java - 使用 java.io.File.createTempFile 时出现 Veracode 不安全临时文件错误
我需要创建一个临时文件并将一些数据存储到其中。为此,我编写了以下代码:
它确实工作得很好,但是当我将此代码提交给Veracode 时,我收到“不安全的临时文件(CWE ID 377)”错误。我认为使用SecureRandom会使攻击者无法预测临时文件名。
在不让 Veracode 不高兴的情况下生成临时文件的正确方法是什么?
sql - SQL 命令中使用的特殊元素的不正确中和(“SQL 注入”)
经过研发,我没有得到解决这个缺陷的办法。请指导我解决这个缺陷
说明
此数据库查询包含 SQL 注入缺陷。函数调用使用从用户提供的输入派生的变量构造动态 SQL 查询。攻击者可以利用此漏洞对数据库执行任意 SQL 查询。
建议
避免动态构建 SQL 查询。相反,使用参数化准备好的语句来防止数据库将绑定变量的内容解释为查询的一部分。始终验证用户提供的输入以确保其符合预期格式,并尽可能使用集中的数据验证例程。
c# - 无法修复 XML 外部实体引用错误的不当限制
我在尝试修复 Veracode 错误时更改了代码Improper Restriction of XML External Entity Reference,但它没有修复它。
这是我现在拥有的代码:
但是,Veracode 仍然指出这部分代码带有相同的错误信息。
还有什么我应该做的来解决它吗?我们没有任何外部参考,一切都是通过内网。
c# - 如何在 C# 中配置 XML 解析器以禁用外部实体解析
我在函数中使用上面的代码来加载 XML 文件。功能方面它工作正常,但在 Veracode 检查后显示以下 Veracode 缺陷。
描述
产品处理的 XML 文档可以包含 XML 实体,其 URL 解析为预期控制范围之外的文档,导致产品在其输出中嵌入不正确的文档。默认情况下,XML 实体解析器将尝试解析和检索外部引用。如果攻击者控制的 XML 可以提交给这些函数之一,那么攻击者就可以访问有关内部网络、本地文件系统或其他敏感数据的信息。这称为 XML 外部实体 (XXE) 攻击。
建议
配置 XML 解析器以禁用外部实体解析。
我需要做些什么来解决它。
c# - Veracode目录遍历问题c#
我有这个将文件存储到服务器的代码:
在 Veracode 分析之后,我在线获得了目录遍历问题FileStream dataFile = new FileStream(dataFileServerPath, FileMode.Create)
为什么我会出现这个问题,我检查了文件扩展名是否对我的案例有效,并在 fileName.xml 中传递了该值。这是安全问题吗?如何解决这个问题?
_documentService.getPath只是为特定用户附加来自 web.config 的路径和文件名,它与用户输入无关。
c# - 无法修复跨站点脚本错误
尽我所能用代码修复它,但 Veracode 仍然给出以下代码错误:
它指向与Response.BinaryWrite(bytes);
应该做什么?有什么建议么?
css - 如何在不引入 XSS 的情况下允许用户控制 CSS?
我有一个应用程序,我可以根据客户的要求自定义 HTML 模板。它提供了在创建模板时包含 CSS 样式脚本的规定,该脚本将在生成模板时最后注入。通过这种方式,客户/支持人员可以动态生成各种 HTML 模板。
但是当我给这个项目进行安全扫描时,所有的 CSS 注入都被检测为安全漏洞(XSS 注入)。我的应用程序本身是基于 CSS 注入设计的,因为它需要在没有开发人员参与的情况下创建动态 HTML 模板。
有没有办法在实现应用程序最终结果的同时防止 XSS 安全漏洞?
请让我知道是否有其他方法可以做到这一点。
java - 如何解决 Veracode 扫描的信任边界违规结果?
我因以下行而受到侵犯
dataList在哪里ArrayList
并Constants.DATA_LIST返回String。
有人请帮我解决这个问题,以避免违反信任边界的缺陷。
asp.net - Veracode 将使用 [Dapper] 的项目报告为 CWE ID 89(SQL 命令中使用的特殊元素的不当中和)
我们有一个 .Net 4.0 项目,正在被 Veracode 扫描以获得安全认证。
在静态扫描期间,发现了以下漏洞: SQL 命令中使用的特殊元素的不正确中和(“SQL 注入”)(CWE ID 89)请参阅https://cwe.mitre.org/data/definitions/89 中的详细信息。 html
似乎引用 Dapper 的报告详细信息文件和行号:
OurOwnDll.dll 开发/.../dapper net40/sqlmapper.cs 1138
App_Browsers.dll 开发/.../sqlmapperasync.cs 126
OurOwnDll 正在使用 Dapper。
App_Browsers.dll 我不知道它来自哪里,但似乎与站点项目有关,并且似乎与 asp.net 的浏览器功能检测有关。
我想知道是否有任何方法可以防止此漏洞。