問題タブ [veracode]

次のように、ファイルを削除するコードを記述します。

しかし、Veracode：リソースがリリースされていないことについて警告をください。ファイルを削除した後にリソースを解放する方法を知りたいです。

Veracodeエラーは次のようになります

ベラコード：

説明
アプリケーションは、再利用できるようになる前に、システムリソースを解放できません（または誤って解放します）。この状態は、データベース接続やファイルハンドルなどのリソースでよく発生します。ほとんどの未リリースのリソースの問題は、一般的なソフトウェアの信頼性の問題を引き起こしますが、攻撃者が意図的にリソースリークを引き起こす可能性がある場合、リソースプールを使い果たすことにより、サービス拒否攻撃を開始できる可能性があります。

推奨事項リソースが作成または割り当てられると、開発者はリソースを適切に解放し、有効期限または無効化のすべての潜在的なパスを考慮する責任があります。すべてのコードパスがリソースを適切に解放することを確認してください。

veracode ツールでセキュリティ コンパイルのためにアプリケーションを実行しました。そして、ツールがコードの欠陥として検出されたログを見つけるたびに
、欠陥は以下の引用を言います

ログの不適切な出力無効化

説明

関数呼び出しにより、ログ偽造攻撃が発生する可能性があります。サニタイズされていないユーザー提供のデータをログ ファイルに書き込むと、攻撃者はログ エントリを偽造したり、悪意のあるコンテンツをログ ファイルに挿入したりできます。破損したログ ファイルは、攻撃者の足跡を隠すために、またはログ表示または処理ユーティリティに対する攻撃の配信メカニズムとして使用される可能性があります。たとえば、Web 管理者がブラウザベースのユーティリティを使用してログを確認すると、クロスサイト スクリプティング攻撃が可能になる可能性があります。**

私のログでは、他のインターフェイスからの xml を出力します。アプリケーションに関連付けられた GUI がないため、この欠陥を中和するにはどうすればよいでしょうか。

この質問をするのに適切なフォーラムでない場合はお知らせください。ありがとう

私たちのクライアントは、Veracodeスキャンツールを使用してASP.NETアプリケーションをスキャンします。以下を除いて多くの不具合を解決しました。

これは対応するコードです：

ファイル名またはパスの外部制御（CWE ID 73）

行にエラーが表示されFile.Deleteます。ファイルパスのサニタイズを試みPath.GetFullpathましたが、無駄にしか使用しませんでした。

私はコードをもっている

これfileNameは私が他の詳細から準備しています。しかし、私は得ています

ファイル名またはパスの外部制御

コードをセキュリティ スキャン ツール 'Vera Code' に送信すると、欠陥が発生します。誰かがこれを解決する方法を教えてください。

Veracode から信頼境界違反を受け取りました。私のコードは

userName信頼境界違反の欠陥を回避するために検証するにはどうすればよいですか?

Information Exposure欠陥を介してベラコードを取得していSent Dataます。私のコードは次のとおりです。

これSystem.getProperty(EPMIConstants.COMPANY_NAME)は、サーバー自体にハードコーディングされた JVM 引数から値を取得します。

変数companyNameがこの欠陥を引き起こします。

誰かがこの欠陥を回避する方法を教えてもらえますか?

Veracode の静的解析によって CWE-78 に対して脆弱であるとフラグ付けされたコードがあります。

脆弱性について見つけたすべてのホワイトペーパーで、特別な要素について言及していますが、特別な要素が何であるかを実際に述べているものはありません。

Windows プラットフォームでは、& と && がコマンド セパレータであることを認識しています。& および && のインスタンスを探す正規表現に対する検証は、静的分析を満たすのに十分でしょうか?