0

Veracode の静的解析によって CWE-78 に対して脆弱であるとフラグ付けされたコードがあります。

脆弱性について見つけたすべてのホワイトペーパーで、特別な要素について言及していますが、特別な要素が何であるかを実際に述べているものはありません。

Windows プラットフォームでは、& と && がコマンド セパレータであることを認識しています。& および && のインスタンスを探す正規表現に対する検証は、静的分析を満たすのに十分でしょうか?

4

1 に答える 1

0

すべてのテストで実行する原則は、ホワイトリスト テストである必要があります。

検証入力のみを許可します。

ブラックリストのテストは包括的ではなく、既知の文字のみをチェックします

于 2013-06-04T10:02:00.430 に答える