Вопросы по теме 'veracode'
Внешний контроль над проблемой безопасности имени файла или пути
у меня есть код
File file = new File(fileName)
Это fileName я готовлю из других деталей. Однако я получаю
Внешний контроль имени файла или пути
ошибка, когда я отправляю свой код в инструмент сканирования безопасности Vera...
7249 просмотров
schedule
17.09.2022
Как избежать XSS в этом c:out?
Обычно я сканирую изменения кода с помощью Veracode для обнаружения уязвимостей в системе безопасности. Теперь в БД есть строка, которую я собираю в строку с именем custFunctionality , и ранее я отображал это в jsp как:
out.println(<%=...
1952 просмотров
schedule
08.11.2022
Ошибка ненадежной инициализации — при создании SQL-соединения
Я сделал следующее...
private static IDbConnectionProvider CreateSqlConnectionProvider(DbConfig dbConfig)
{
return new QcDbConnectionProvider(() =>
{
SqlConnectionStringBuilder csBuilder = new...
3432 просмотров
schedule
31.01.2023
Как проверить имя файла в JAVA для разрешения CWE ID 73 (внешний контроль имени файла или пути) с помощью ESAPI?
Я сталкиваюсь с этим недостатком безопасности в своем проекте в нескольких местах. У меня нет белого списка для проверки при каждом появлении этой уязвимости. Я хочу использовать вызов ESAPI для выполнения базовой проверки черного списка имени...
6711 просмотров
schedule
14.07.2022
Как исправить ошибку Veracode: раскрытие информации через отправленные данные
Veracode не работает со следующей строкой кода:
string server = Decryptor.Decrypt(ConfigurationManager.AppSettings["ConnectionPoint"]);
System.Net.HttpWebRequest objRequest = (System.Net.HttpWebRequest)System.Net.WebRequest.Create(server);
У...
3577 просмотров
schedule
26.10.2022
Использовать сильный алгоритм в ScramSha1Authenticator - согласно Veracode?
Мы используем java-драйвер Mongo DB 3.4.1 jar. Когда мы провели тестирование Veracode, мы обнаружили, что:
Строка ScramSha1Authenticator.java № 215 использует сломанный или рискованный криптографический алгоритм.
Есть ли какое-либо...
79 просмотров
schedule
28.07.2023
Алгоритм отклонения шифрования Veracode — какой мне следует использовать?
Я унаследовал проект Java (Spring) на этапе обслуживания, который только что прошел через Veracode в первый раз, и единственный оставшийся недостаток High — это сообщение о «слабом или сломанном» алгоритме шифрования. Я бы предпочел потратить время...
1143 просмотров
schedule
04.09.2022
Неправильная нейтрализация последовательностей CRLF в заголовках HTTP (CWE ID 113)
Кто-нибудь знает, как исправить эту проблему с веракодом (CWE 113)
Я уже пробовал по ссылке ниже, но она не работает.
Исправление для CWE-113: Неправильная нейтрализация последовательностей CRLF в заголовках HTTP («Разделение ответа HTTP»)...
3202 просмотров
schedule
29.04.2024
Как решить проблему «Неправильное ограничение ссылки на внешнюю сущность XML ('XXE')»
Я пытаюсь исправить все уязвимости, перечисленные Veracode в моем веб-приложении. Я застрял на этой конкретной уязвимости, о которой на самом деле понятия не имею. «Неправильное ограничение ссылки на внешнюю сущность XML». Позвоните, пожалуйста,...
940 просмотров
schedule
21.02.2024
Пожалуйста, помогите Veracode выпустить CWE 15 External Control of System or Configuration Setting n имя файла
Veracode выдает ошибку CWE 15:
Описание: Этот вызов system_data_dll.System.Data.OleDb.OleDbConnection.!newinit_0_1() позволяет внешнему управлению ›настройками системы. Аргумент функции строится с использованием ненадежных входных данных, что...
722 просмотров
schedule
20.04.2023
Проблема Veracode Scan XSS для метода Response.BinaryWrite()
При выполнении сканирования Veracode была обнаружена уязвимость для следующей строки:
Page.Response.BinaryWrite(stream.GetBuffer());
Где поток является объектом System.IO.MemoryStream .
Я пробовал следующую строку кода...
488 просмотров
schedule
23.08.2022
Как правильно включить параметры в запрос на завивание
Итак, я работал с некоторыми интеграциями с Veracode, мне нужно использовать этот XML API( createsandbox.do )
В документации рекомендуется использовать HTTPIe, и он отлично работает на моей машине. Однако нам нужно реализовать это в нашей среде...
63 просмотров
schedule
03.08.2023
Исправление неправильного ограничения уязвимости внешней сущности XML
У меня есть уязвимость XXE в моем коде, неправильное ограничение внешней сущности XML
TransformerFactory tff = TransformerFactory.newInstance();
Transformer tf = tff.newTransformer();
Source sc = message.getSOAPPart().getContent();
StreamResult...
30 просмотров
schedule
25.09.2023