问题标签 [veracode]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
6501 浏览

java - CWE-73:文件名或路径的外部控制 Veracode java 解决方案

有人可以帮我了解以下 Vera 代码罐头错误的 Java 编码解决方案吗?

我正在创建一个文件并将文件位置作为参数传递。

0 投票
1 回答
85 浏览

php - 为什么 veracode 检测到 ini_set('auto_detect_line_endings') 调用包含参数注入缺陷?

在扫描 Drupal 代码时,我收到此消息“此调用包含参数注入缺陷。该函数的参数是使用用户提供的输入构造的,而没有正确分隔或清理它。” 它指的是:

我在 Drupal 模块中内联使用它。有什么想法可以避免这种情况吗?我需要这样使用该变量。

0 投票
0 回答
770 浏览

java - Java中与脚本相关的HTML标签的不正确中和(基本XSS)

我正在使用Veracode验证我的代码,在下面的方法中为“return collectionService.getAllNotificationDrop()”行收到错误“CWE–80:网页中与脚本相关的 HTML 标记的不正确中和(基本 XSS)”

请帮忙解决这个问题,最近几天没有线索。

0 投票
1 回答
1223 浏览

security - 如何通过 Veracode 安全扫描修复 SQL 注入问题

我们正在使用 Veracode 扫描编码。结果在第 51 行报告了可能的 SQL 注入。代码如下。

我想知道为什么这是一个 SQL 注入问题,如果是,如何解决。

0 投票
3 回答
461 浏览

azure - 我是否需要 Azure 的许可才能运行 Veracode 动态扫描?

我希望在托管我们网站的 Azure 应用服务上运行 Veracode 的动态扫描,这是一种自动渗透测试器。条款https://security-forms.azure.com/penetration-testing/terms中有一个条款指出“在运行常见的现成漏洞扫描程序时,不需要提交 Pentest 表单。那些不需要预先确认。 ”。

Veracode 的动态扫描是否算作“现成的漏洞扫描程序”?

0 投票
0 回答
1356 浏览

c# - 网页中与脚本相关的 HTML 标记的不当中和(基本 XSS)(CWE ID 80)用于 response.BinaryWrite

我尝试通过对文件名应用编码但仍然在response.BinaryWrite(data);

下面是我的代码:

有什么建议可以解决这个问题吗?

0 投票
2 回答
1438 浏览

c# - 处理由 veracode 引发的跨站脚本漏洞

我们在 ASP.Net 和 C# 中有一个遗留的 Web 应用程序,为此我们收到了大约 400 个由 Veracode 扫描引发的跨站点脚本缺陷。我创建了一个示例 Web 应用程序并模拟了这个问题,发现每当我们直接使用任何字符串输入时,它都会引发缺陷。这样做HttpUtility.HtmlEncode(TextBox1.Text);"可以满足验证码的要求,但是在所有 400 个位置应用此更改是不可行的,因为那样会有大量的工作和测试工作。我正在寻找某种方式在 httphandler 中实现一些插件,以便所有输入都在一个地方编码,我们不必在任何地方更改它。如果可以的话,有人可以指导我吗?即使您可以指导我进近,至少也足以有一个方向。提前谢谢了。

如果我删除 HttpUtility.HTMLEncode 行 Veracode 会抱怨它。由于我们在很多地方都在做这个字符串操作,所以在任何地方实现这个都是不可行的。这是否有可能在一个地方实现这种编码,并且所有响应和请求都应该通过该管道,例如 HTTPHandler 和 HTTPModule。

0 投票
2 回答
5176 浏览

asp.net-mvc - 系统或配置设置的外部控制

(对不起,如果这是一个愚蠢的问题......)

Veracode 报告我的网站存在与使用 web.config 中的连接字符串有关的安全问题。

这是我的代码。

Veracode 说:

对 system_data_dll.System.Data.SqlClient.SqlConnection.!newinit_0_1() 的调用允许对系统设置进行外部控制。该函数的参数是使用用户提供的输入构造的,这可能会中断服务或导致应用程序以意想不到的方式运行。!newinit_0_1() 的第一个参数包含来自变量 connStr 的污染数据。受污染的数据源自之前对 system_web_dll.system.web.httprequest.get_item、system_data_dll.system.data.common.dbdataadapter.fill、system_data_dll.system.data.sqlclient.sqlcommand.executescalar 和 fmmobile8_dll.virtualcontroller.vc_wcfentry 的调用。

补救措施:

绝不允许用户提供或其他不受信任的数据来控制系统级设置。始终验证用户提供的输入以确保其符合预期格式,并尽可能使用集中的数据验证例程。

CWE 报告了相同的用法:http: //cwe.mitre.org/data/definitions/15.html

好的,Veracode 的建议说我应该在使用它创建 SqlConnection 对象之前检查连接字符串的格式。

我还向谷歌教授询问了如何检查连接字符串的格式。但是返回的结果说我们应该创建 SqlConnection 对象,然后打开它。

如果响应正常,则连接字符串也表示有效格式。否则,连接字符串无效。

不幸的是,Veracode 不接受这个答案。

所以,我的问题是:

我们是否应该在创建 SqlConnection 对象之前检查连接字符串的格式(如 Veracode 所说)?如果是,如何?

0 投票
1 回答
465 浏览

android - 如何清理传递给 selectionArgs 数组的所有变量?

Veracode 静态扫描报告指出了我的 Content Provider 实现中的 SQL 注入缺陷。

以前,我发布了这个问题,与我对这个缺陷的所有疑问有关。

经过几次讨论后,我得出结论,报告中可能存在误报。因为根据我研究和阅读的内容,我遵循了 Android文档其他参考资料中提到的安全指南,以避免 SQL 注入。

到处都有建议对传递给 SQL 查询的数据执行至少一些输入验证。我想涵盖这种可能性,这是缺陷的原因。每个人都要求我在传递给查询之前清理数据。如何准确清理传递给 selectionArgs 数组的变量,这些变量传递给 Content Provider 的 delete()、update() 方法?

DatabaseUtils.sqlEscapeString()就足够了吗?请建议!

这是我需要清理变量的实现:

报告指出了该缺陷:此行中 SQL 命令中使用的特殊元素的不当中和(“SQL 注入”)(CWEID 89)

删除 = db.delete(BulletinTable.TABLE_NAME, selection, selectionArgs); 在下面的代码中:

0 投票
0 回答
456 浏览

javascript - jsp中的xss使用href,如何解决?

我的 jsp 中的Veracode 扫描检测问题(CWE ID 80 ):

在哪里

这里有什么问题?我需要转义 URL?我看不到攻击者如何更改 URL,如果它更改 ID,例如响应将是 403。什么 Veracode 在这里说什么以及如何防止未来的 XSS 攻击?

注意: ConstructQString 对传递的参数进行编码。