问题标签 [veracode]

在我的应用程序中，我有类 testapp，因为我有一些方法和主要方法。当我使用 veracode 工具时，它在 main 方法中显示出缺陷，即 Veracode CWE-489:Leftover Debug Code。在我的 psvm 主要方法中，我只有一些 Syso 行。

任何人都可以指导我如何解决这个问题。

我们正在使用 veracode 对我们的代码进行安全分析，并显示以下代码的 XXE 缺陷，特别是在调用 Deserialize() 的地方。我们如何防止序列化程序访问外部实体。我在下面为 XMLReader 将 XMLresolver 设置为 null 的尝试不起作用。

任何人都可以建议我可能缺少什么，或者是否有其他尝试。

我的 VS 2013 Professional 中有一个 Veracode 插件。

我有 ucommerce.dll、Sitecore.Kernel 和 Sitecore.Analytics.dll

我为上述所有 dll 文件设置了本地复制为真。

当我尝试预编译所有 Web 项目时，我收到以下错误消息

1>----- 预编译开始： Project: XXXXX.Web.PQRPorta\ ------ 1> 使用类似如下命令进行预编译：C:\Windows\Microsoft.NET\Framework\ v4.0.30319\aspnet_compiler.exe -p "C:/XXXXX.Web.PQRPortal" -v "XXXXX.Web.PQRPortal/" -fixednames -f -c -d "C:/SVN/trunk/Releases/SourceCode/Source /PrecompiledWeb/XXXXX.Web.PQRPortal" 1>错误 ASPCONFIG：无法自动发现“components.config”。确保它存在于应用程序文件夹中 'C:\SVN\trunk\Releases\SourceCode\Source\XXXXX.Web.PQRPortal\' 或在子文件夹中。路径忽略 ''C:\SVN\trunk\Releases\SourceCode\Source\XXXXX.Web.PQRPortal\bin'，'C:\SVN\trunk\Releases\SourceCode\Source\XXXXX.Web.PQRPortal\App_Data'，' C:\SVN\trunk\Releases\SourceCode\Source\XXXXX.Web.PQRPortal\obj'' 1>XXXXX.Web.PQRPortal\ - 1 个错误，0 个警告

是否缺少任何配置？

更新

我在里面找到了 components.config 文件

C:\inetpub\wwwroot\XXXX\Website\sitecore 模块\Shell\uCommerce\Configuration

我在 web 项目根目录中添加了文件并尝试预编译 web 项目，现在我得到了不同的错误错误

ASPRUNTIME：成员“Castle.Windsor.Configuration.Interpreters.ConfigurationProcessingException，Cast‌​le.Windsor，版本=3.2.0.0，文化=中性，PublicKeyToken=407dd0808d44fbdc”的类型未解析。

有什么解决办法吗？

如何在 Eclipse 中安装 Veracode 插件？我在 Veracode 网站上没有找到任何下载站点或任何链接/页面。

以下 Coldfusion 代码由静态代码分析器 Veracode.com 测试：

我得到结果：

Veracode 不扫描 Coldfusion 代码本身。它必须使用 Adob​​e 提供的工具进行预编译。然而，我在 Veracode 网站上看到的结果给出了正确的行号。因此，我怀疑我被指向了错误的路线。我HTMLEditFormat()在获得第一次扫描结果后将其放回，但错误仍然存​​在。

这段代码怎么会导致 XSS？一个调用怎么会coldfusion.runtime.Cast._double导致 XSS 呢？将无效值强制转换为 double 时，Coldfusion 会引发异常。当我使用表单范围变量时，我遇到了类似的错误。在那里，在某些情况下，我可以简单地替换 Form 的使用。在另一件事上，cfloop from to我得到了结果Attack Vector: coldfusion.runtime.Cast._int。为什么 Veracode 有时声称有一个强制转换为 double 有时一个强制转换为 int？

我完全不确定在这种情况下我应该怎么做。当在计算中使用 Form 范围的变量时，我该怎么办 - 首先是为了保护我的应用程序，其次是为了满足 Veracode。

我们最近开始使用 Veracode 进行漏洞测试。有没有办法选择性地排除所有第三方库并仅将扫描重点放在我们的内部库代码上？

由于几个 CWE-611：XML 外部实体引用的不当限制 ('XXE') 错误，我们最近未能通过 Veracode 安全扫描。

有几个关于这个主题的问题被问到并得到了回答，我尝试使用提供的解决方案，但没有得到他们的帮助。他们为我们拥有的其他人工作，但那些都处理 XmlDocument()。这个没有。问题是这样的声明：

它大约下降了 4/5（从底部向上约 19 行。这是代码：

我见过的其他人的解决方案包括添加以下代码行：

这适用于许多 Veracode 故障，但不适用于这一故障。

我们对一些旧的遗留应用程序进行了 Veracode 安全审计，发现我们容易受到外部实体 (XXE) 攻击。我已经解决了大部分问题，但我遇到了一些我不知道如何处理的代码，我希望这里有人能给我一些指导。以下是相关代码：

问题在于这段代码：

根据 Veracode 的说法，上述代码段的问题是“XML 外部实体引用 ('XXE') 的限制不当”。根据 CWE 列表，这意味着“该软件处理的 XML 文档可以包含 XML 实体，其 URI 解析为预期控制范围之外的文档，导致产品在其输出中嵌入不正确的文档。”

我不知道我与修复它的代码有什么关系。

在使用VERACODE时，在 Android 应用程序中使用 java.util.Random.nextInt 时熵不足。在我的应用程序源代码中没有使用Random.nextInt，它用于谷歌分析（com.google.android.gms.analytics）

攻击向量： java.util.Random.nextInt

描述：标准随机数生成器在用于安全目的时不能提供足够的熵。攻击者可以暴力破解伪随机数生成器的数量，例如 rand()。

最近，我们在其中一个应用程序上使用 Veracode 进行了静态安全扫描。

报告指出一个问题

使用损坏或有风险的加密算法 (CWE ID 327)

以下代码片段显示

在描述中，它将 SHA1 描述为一种弱算法。

我修改了代码并使用 SHA256 而不是 SHA1 并再次执行 veracode 扫描，但它仍然显示相同的问题。

有什么替代方法？有什么建议么？