問題タブ [veracode]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

294 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
1 に答える
7065 参照

c# - ファイル名またはパスの外部制御 Veracode スキャンの問題

アプリケーションのセキュリティ上の欠陥を検出するために Veracode スキャンを使用する asp.net にアプリケーションがあります。関数の 1 つをスキャンすると、「ファイル名またはパスの外部制御」というエラーが表示されます。このエラーを修正する方法を知っている人はいますか?

サンプルコード:

URLの下で参照されている無効な文字のfullPathパラメーターを検証しようとしました。しかし、問題はまだ続きます。誰でもこの問題を解決するのを手伝ってもらえますか? ありがとう。

http://www.howtoasp.net/asp-net-security-tutorials/how-to-control-path-composition-to-protect-asp-net-web-application-from-directory-traversal-vulnerability-in- c/

0 投票する
0 に答える
1263 参照

asp.net - Response.Write を使用したエラー メッセージによる情報漏えい

System.IO.StringWriter から継承するクラスがあります。クラスのコード スニペットは次のとおりです。

veracode スキャンは、_httpResponse.Write(input) が「エラー メッセージによる情報漏えい」を引き起こすことを示しました。この問題を軽減せずに、この問題を解決する (別の) 方法はありますか? パラメータ「入力」のサニタイズは役に立ちますか? その場合、入力をエンコードするだけで十分でしょうか? ご意見をお聞かせください。

0 投票する
1 に答える
4244 参照

ios - Veracode、デバッグ シンボル、および XCode

iOS アプリケーションを Veracode (アプリケーション セキュリティ プラットフォーム) でスキャンしようとしています。.IPA をスキャンするには、.IPA にデバッグ シンボルが含まれている必要があります。

使用されているアーカイブ ビルド構成とプロジェクト/ターゲットについては、次のように指定しました。

  • デバッグ シンボルを生成する: はい
  • コピー中にデバッグ シンボルを削除する : いいえ
  • デッド コード ストリッピング : いいえ
  • デフォルトで非表示の記号 : いいえ
  • ストリップリンク製品 : いいえ

それでも、.IPA を送信すると、Veracode で次のエラーが表示されます。

デバッグ シンボルなしでコンパイルされたプライマリ ファイル - 1 ファイル

おそらくアーカイブに関して、デバッグシンボルを作成するために必要な別のステップはありますか?

0 投票する
2 に答える
2606 参照

html - Web ページ内のスクリプト関連の HTML タグの不適切な無効化 (基本 XSS)

Web サービス アプリケーションのサーバーの詳細を取得しようとしています。

最近ベラコードを実行しましたが、getRemoteHost()それを防ぐ方法について何か提案がありますか?

0 投票する
3 に答える
4296 参照

c# - Process.Start からの OS コマンド インジェクション

私のアプリケーションはProcess.Start、実行する別のアプリケーションを開くために使用しています。VeraCode [セキュリティ ソフトウェア スキャン ツール] は、このコマンドをOS Command Injection Vulnerableとして報告しました。何かコメントを頂きたいです。入力のフィルタリングまたはプログラム名の制約に関する多くの情報を Web で見つけました。Process.Startただし、 ?を使用する他の方法があるかどうかを知りたいです。

編集: コメントありがとうございます。これはサンプルの 1 つです。はい、ユーザーからの入力を取得しています。

ありがとう!

0 投票する
2 に答える
1663 参照

c# - VeraCode が ServiceStack OrmLite で、SQL コマンドで使用される特別な要素の不適切な中和 (「SQL インジェクション」) を報告 (CWE ID 89)

わかりましたので、Web API で必要なデータに ServiceStack OrmLite を使用しています。コード セキュリティ スキャンと検証のために自分のコードを VeraCode に送信したところ、OrmLite が潜在的な SQL インジェクション攻撃ベクトルを示していることが結果レポートで示されました。

これをトリアージする方法がわかりません。OrmLite を EntityFramework に置き換える必要がありますか?

0 投票する
5 に答える
3169 参照

java - JSP の Veracode の問題

以下の行でベラコードの問題が発生しています

問題は<%=viewBean.getStudName()%> ここにあります。報告された問題は、「Web ページ内のスクリプト関連の HTML タグの不適切な中和 (基本的な XSS) です。cwe.mitre.org で提供されている修正を試しましたが、適切に適用できませんでした。誰でもできます。この問題を解決する方法を教えてください。

0 投票する
0 に答える
466 参照

asp.net-mvc - このベラコードの欠陥「送信データによる情報漏えい」について知っている人はいますか?

この行に低いベラコードの欠陥がある mvc アプリケーションがあります

送信データによる情報漏えい

uri の値は "{ https://www.p6.experian.nl/cgi-bin/retrieve?PROCESSID=150&PREFIX=&INITIALS=B&SURNAME=Klomp&DATEOBIRTH=31031964&GENDER=&POSTALCODE=3846BN&HOUSENUM=22&HOUSEEXT=&PHONENUMBER=&FORMAT=XML&FULLSIZE=TRUE&HOUSEEXTIGNORE =TRUE&D-​​INDUSTRY_SEC=2&D-DATA_LEVEL=1&D-LIFE_CYCLE=1&D-VERSION_NUM=2 }"

誰かがこの欠陥について私を助けることができますか?


12345678910