问题标签 [veracode]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c# - 如何使用 XmlUrlResolver 修复“XML External Entity (XXE)”攻击?
我们已经运行Veracode
,一些.cs
文件原来是安全流Improper Restriction of XML External Entity Reference ('XXE')
几个月前,当在不同的应用程序中遇到相同的问题时,我通过添加以下内容解决了这个问题:
settings.DtdProcessing = DtdProcessing.Prohibit;
现在,应用相同的修复程序并不能解决问题。
我已经尝试了所有可能的解决方案来解决 XXE 问题,但没有帮助。
我也有:
但它也不能解决它。
因此,我遇到了其他提供的创建自定义解析器类的解决方案。
现在,我有以下代码:
这是一个自定义解析器类:
在部署更改之前,我想知道我是否以正确的方式使用了该类,如果没有,如何更改它,它会完全解决问题吗?
java - 替代 Java 中的 System.exit(1) 以通过验证码扫描
J2EE 不良实践:使用 System.exit()
VeraCode 扫描显示上述安全漏洞。Vera Code 指向 System.exit 使用 main() 方法以外的地方。
System.exit(1) 的目的是在执行批处理作业时连接无效时退出系统。
为了通过 Vera 代码扫描,System.exit(1) 的替代方法是什么。
jquery - 在 MVC 中使用 .html() 显示对话框会在 Veracode 中出现 XSS 错误
我们开发的一个系统通过 Veracode 运行以发现安全漏洞。它突出显示了在模态对话框中弹出视图的 javascript 函数上的“网页中与脚本相关的 HTML 标记的不正确中和(基本 XSS)”项。该视图没有数据条目,也不显示以前输入的数据。
问题是交易ID吗?它是系统生成的并保存在一个隐藏的字段中。如果是这样,HTML.Encode()
应用于transactionID
视图的剃刀语法(由 $.get 返回)是否足以缓解此问题?事实上,Veracode 似乎.html()
在我们的 javascript 中每次使用都会引发这个错误。从JShtml()
文件中提取出来是一项艰巨的任务。我将不胜感激任何人都可以提供的帮助。
veracode - Veracode 扫描有什么用途?
我用 but 进行了一些搜索,但无法发现 Veracode Scan 的目的。另外,我想知道为什么将 veracode 扫描仪插入 Jenkins。
谁能帮我解决这个问题?我在此处发布此内容,因为即使在 wiki 页面中我也无法找到答案。
sql - 参数化查询无法解决 sql 注入缺陷
我有以下代码,其中我进行了参数化查询,因为我在某处读到这避免了 SQL 注入。但是在进行此更改后,我仍然遇到 SQL 注入缺陷。
java - 如何验证 JAVA 中的文件名以使用 ESAPI 解析 CWE ID 73(文件名或路径的外部控制)?
我在多个地方的项目中都面临着这个安全漏洞。我没有任何白名单可以在每次出现此缺陷时进行检查。我想使用 ESAPI 调用对文件名执行基本的黑名单检查。我读过我们可以使用 ESAPI 的 SafeFile 对象,但不知道如何以及在哪里。
以下是我想出的几个选项,请告诉我哪一个可行?
ESAPI.validator().getValidInput()
或者
ESAPI.validator().getValidFileName()
asp.net-mvc - 你如何保护 UrlHelper.Action 免受 XSS 攻击?
我们有一个 ASP.NET MVC 站点,用于UrlHelper.Action
生成发送到客户端的 URL。我们已经使用 Veracode 安全平台扫描了我们的应用程序。它发现了一个问题:
网页中与脚本相关的 HTML 标签的不当中和(基本 XSS)
受污染的数据源自之前对 system_web_mvc_dll.System.Web.Mvc.UrlHelper.Action 的调用。
我们的 URL 不使用可能来自客户端并被污染的模型状态值。他们都很直截了当。
UrlHelper 是否存在任何漏洞或确保其生成的 URL 不允许 XSS 注入的最佳实践?
c# - 不受信任的初始化 - VeraCode 扫描问题
我在下面的代码中遇到了一个高验证码扫描问题。我需要做哪些改变来解决它。
webrequest - 如何修复 Veracode 错误:通过发送数据暴露信息
Veracode 未能通过以下代码行:
有没有人对如何解决这个问题有任何想法?
maven - 将工件从 nexus 上传到 veracode 以进行代码扫描
我在 Nexus 的发布存储库中有一个可用的二进制工件。我们需要将这些工件从 Nexus 上传到 Veracode 以进行静态代码分析。
那么,无论有没有 Maven,将构建工件从 Nexus 存储库上传到 Veracode 的最佳(或任何合理)方法是什么?“bash + curl”会很棒,甚至是 Python 脚本。?