问题标签 [veracode]

我们已经运行Veracode，一些.cs文件原来是安全流Improper Restriction of XML External Entity Reference ('XXE')

几个月前，当在不同的应用程序中遇到相同的问题时，我通过添加以下内容解决了这个问题：

settings.DtdProcessing = DtdProcessing.Prohibit;

现在，应用相同的修复程序并不能解决问题。

我已经尝试了所有可能的解决方案来解决 XXE 问题，但没有帮助。

我也有：

但它也不能解决它。

因此，我遇到了其他提供的创建自定义解析器类的解决方案。

现在，我有以下代码：

这是一个自定义解析器类：

在部署更改之前，我想知道我是否以正确的方式使用了该类，如果没有，如何更改它，它会完全解决问题吗？

J2EE 不良实践：使用 System.exit()

VeraCode 扫描显示上述安全漏洞。Vera Code 指向 System.exit 使用 main() 方法以外的地方。

System.exit(1) 的目的是在执行批处理作业时连接无效时退出系统。

为了通过 Vera 代码扫描，System.exit(1) 的替代方法是什么。

我们开发的一个系统通过 Veracode 运行以发现安全漏洞。它突出显示了在模态对话框中弹出视图的 javascript 函数上的“网页中与脚本相关的 HTML 标记的不正确中和（基本 XSS）”项。该视图没有数据条目，也不显示以前输入的数据。

问题是交易ID吗？它是系统生成的并保存在一个隐藏的字段中。如果是这样，HTML.Encode()应用于transactionID视图的剃刀语法（由 $.get 返回）是否足以缓解此问题？事实上，Veracode 似乎.html()在我们的 javascript 中每次使用都会引发这个错误。从JShtml()文件中提取出来是一项艰巨的任务。我将不胜感激任何人都可以提供的帮助。

我用 but 进行了一些搜索，但无法发现 Veracode Scan 的目的。另外，我想知道为什么将 veracode 扫描仪插入 Jenkins。

谁能帮我解决这个问题？我在此处发布此内容，因为即使在 wiki 页面中我也无法找到答案。

我有以下代码，其中我进行了参数化查询，因为我在某处读到这避免了 SQL 注入。但是在进行此更改后，我仍然遇到 SQL 注入缺陷。

我在多个地方的项目中都面临着这个安全漏洞。我没有任何白名单可以在每次出现此缺陷时进行检查。我想使用 ESAPI 调用对文件名执行基本的黑名单检查。我读过我们可以使用 ESAPI 的 SafeFile 对象，但不知道如何以及在哪里。

以下是我想出的几个选项，请告诉我哪一个可行？

ESAPI.validator().getValidInput()或者
ESAPI.validator().getValidFileName()

我们有一个 ASP.NET MVC 站点，用于UrlHelper.Action生成发送到客户端的 URL。我们已经使用 Veracode 安全平台扫描了我们的应用程序。它发现了一个问题：

网页中与脚本相关的 HTML 标签的不当中和（基本 XSS）

受污染的数据源自之前对 system_web_mvc_dll.System.Web.Mvc.UrlHelper.Action 的调用。

我们的 URL 不使用可能来自客户端并被污染的模型状态值。他们都很直截了当。

UrlHelper 是否存在任何漏洞或确保其生成的 URL 不允许 XSS 注入的最佳实践？

我在下面的代码中遇到了一个高验证码扫描问题。我需要做哪些改变来解决它。

Veracode 未能通过以下代码行：

有没有人对如何解决这个问题有任何想法？

我在 Nexus 的发布存储库中有一个可用的二进制工件。我们需要将这些工件从 Nexus 上传到 Veracode 以进行静态代码分析。

那么，无论有没有 Maven，将构建工件从 Nexus 存储库上传到 Veracode 的最佳（或任何合理）方法是什么？“bash + curl”会很棒，甚至是 Python 脚本。？