Вопросы по теме 'veracode'
Как решить проблему нарушения границ доверия для сканирования Veracode?
Я получаю нарушение за строку ниже
request.getSession().setAttribute(Constants.DATA_LIST,dataList);
где dataList равно ArrayList
dataList=(ArrayList)request.getSession().getAttribute(Constants.DATA_TRANSFER_OBJECT);
и...
1382 просмотров
schedule
21.02.2022
VeraCode - этот вызов name () содержит ошибку межсайтового скриптинга (XSS).
Может ли кто-нибудь объяснить, почему VeraCode, похоже, считает, что использование name в качестве общедоступного свойства - плохая идея, и предлагает хороший комментарий для смягчения последствий?
код (JavaScript):
var BatchTask = (function ()...
979 просмотров
schedule
08.03.2022
Внешний контроль системы или настройки конфигурации
(Извините, если это глупый вопрос ....)
Veracode сообщает, что у моего веб-сайта есть проблема безопасности, связанная с использованием строки подключения из web.config.
Вот мой код.
Public Function ExecuteScalar(ByVal sql As String) As...
4580 просмотров
schedule
22.03.2022
Не удается смягчить SQL-инъекции с помощью OWASP.ESAPI — Veracode
Я выполняю сканирование veracode для своего кода Java, и он выдает следующую ошибку в одном из моих классов DAO.
Неправильная нейтрализация специальных элементов, используемых в команде SQL («SQL-инъекция») CWE ID 89
Однако я попытался смягчить...
775 просмотров
schedule
17.07.2022
Исправление Veracode CWE ID 117 (неправильная нейтрализация вывода для журналов) в VB.NET
У меня есть следующий код, который, если я правильно читаю другие темы по этому вопросу, не должен вызывать сканирование Veracode для отметки CWE 117, но это так. Есть и другие «ответы» для Java / C #, но я ничего не нашел для VB.NET.
Мой код...
272 просмотров
schedule
14.08.2022
Как исправить проблемы с SQL-инъекцией из Veracode Security Scan
Мы используем Veracode для сканирования кода. Результат сообщил о вероятной SQL-инъекции в строке 51. Код приведен ниже.
Я хотел бы знать, почему это проблема с SQL-инъекцией и как ее исправить, если да.
@Override
public CloseableSqlRowSet...
1095 просмотров
schedule
11.09.2022
Исправление CWE ID 117 в клиентской библиотеке Rabbitmq
Мое программное обеспечение использует RabbitMQ для связи. Однако Veracode пометил CWE 117 (неправильная нейтрализация выходных данных для журналов) в библиотеке amqp-client.
Я попытался обновиться до последней версии (4.11.3), но Veracode...
138 просмотров
schedule
12.09.2022
Как использовать ESAPI Logger в приложении Android Native или Corodva
Я новичок в ESAPI, и я добавил банку esapi-2.0.1 в свое приложение для Android, смог вызвать любой из методов ESAPI. Однако я получаю Причина: java.lang.IllegalArgumentException: Не удалось загрузить ESAPI.properties как ресурс загрузчика классов...
375 просмотров
schedule
16.09.2022
Как решить: Хранение пароля открытым текстом
Я отправил свой JAVA EAR в инструмент безопасности Veracode и получил проблему хранения пароля в виде открытого текста в следующем коде:
ApplicationProperties app = new ApplicationProperties(fileProp);
String sqlServerPassword =...
2029 просмотров
schedule
15.11.2022
Нарушение безопасности -- возможен внешний контроль имени файла или пути
У меня есть галерея изображений, и я визуализирую изображение следующими способами.
<a href="/Gallery/GetImage?Name=sample.jpg>Imagename</a> //user clicks hyperlink to download file
<img src=""/Gallery/GetImage?Name=sample.jpg">...
4963 просмотров
schedule
26.01.2023
Внешний контроль имени файла или пути сканирования Veracode
У меня есть приложение в asp.net, которое использует сканирование Veracode для обнаружения любых недостатков безопасности в приложении. При сканировании одной из моих функций отображается следующая ошибка «Внешний контроль имени файла или пути»....
6520 просмотров
schedule
29.05.2023
Для чего используется Veracode Scan?
Я сделал несколько поисков с помощью но, но не смог обнаружить назначение Veracode Scan. Кроме того, я хотел бы знать, почему сканер veracode подключен к Jenkins.
Может ли кто-нибудь помочь мне с этим? Я публикую это здесь, так как не могу найти...
4538 просмотров
schedule
21.04.2023
Проверка безопасности Checkmarx/Sonar
У меня есть csrf().disable() в моей конфигурации безопасности, и сканирование checkmarx/Sonar/Veracode жалуется на это.
Любое обходное решение этой проблемы, кроме использования security.enable-csrf , так как оно устарело?
273 просмотров
schedule
15.02.2023
Нарушение границ доверия - ошибка Veracode
Я получаю нарушение границы доверия в коде, который я тестирую. Код добавляет формы в сеанс, и он становится ошибочным как нарушение границы доверия.
Inside Struts Action class execute method
{
EditForm editform = new EditForm ();
All the...
6234 просмотров
schedule
23.10.2023
Безопасность: CWE-201: Как правильно безопасно прочитать файл свойств с помощью openStream?
Я работаю над решением для CWE-201, которое помечено Veracode.
Предыстория:
CWE-201: раскрытие информации через отправленные данные
Раскрытие информации через отправленные данные Идентификатор уязвимости: 201 (вариант уязвимости)...
4809 просмотров
schedule
04.11.2023
Есть ли проверка в библиотеке ESAPI, которая может гарантировать, что уязвимость CWE-93 не появится при сканировании veracode SAST?
Я выполнил SAST-сканирование своего кода на платформе Veracode и обнаружил эту уязвимость в функции электронной почты Java, которую я использую для отправки писем из своего приложения. Ниже приводится следующая уязвимость: неправильная нейтрализация...
522 просмотров
schedule
17.11.2023
Неправильная нейтрализация последовательностей CRLF ("CRLF Injection") (CWE ID 93)
В отчете Veracode я получаю ошибку CWE 93 в некоторых файлах Java. В случае статического сканирования некоторый код
MimeMessage msg = new MimeMessage(session);
msg.setFrom(new InternetAddress(msmtpfrom));
2....
1494 просмотров
schedule
30.11.2023
Как предотвратить SSRF в .Net
У меня есть приложение веб-формы, а также приложение Web Api, размещенное на разных серверах. Для всех операций CRUD приложение веб-формы использует API. Чтобы вызвать API из приложения веб-формы, я создал общий метод запроса API, используя класс...
1207 просмотров
schedule
09.03.2024
Как нейтрализовать последовательности CRLF в заголовках HTTP
Я прошел по этой ссылке. [ Как чтобы исправить неправильную нейтрализацию последовательностей CRLF в заголовках HTTP («Разделение ответа HTTP»)
Но это не дает мне решения.
Мой код также выдает ошибку «Неправильная нейтрализация...
6876 просмотров
schedule
13.05.2024
Почему Veracode считает $ (document) недостатком?
Сегодня, когда я повторно сканировал, veracode снова открыл кучу строк с такими вещами, как ...
$(document).off('click.applicationmenu open-applicationmenu close-applicationmenu keydown.applicationmenu');
$(document).on('open-applicationmenu', ()...
67 просмотров
schedule
13.05.2024