問題タブ [veracode]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

294 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
2 に答える
2017 参照

java - java.io.File.createTempFile 使用時の Veracode Insecure Temporary File エラー

一時ファイルを作成し、そこにデータを保存する必要があります。そのために次のコードを作成しました。

完全に機能しますが、このコードをVeracodeに送信すると、「安全でない一時ファイル (CWE ID 377)」というエラーが表示されます。SecureRandomを使用すると、攻撃者が一時ファイル名を予測できなくなると思いました。

Veracodeを不幸にせずに一時ファイルを生成する正しい方法は何ですか?

0 投票する
1 に答える
9041 参照

sql - SQL コマンドで使用される特殊要素の不適切な中和 (「SQL インジェクション」)

研究開発の後、私はこの欠陥の解決策を見つけられませんでした。この欠陥を解決するために私を導いてください

説明
このデータベース クエリには、SQL インジェクションの欠陥が含まれています。関数呼び出しは、ユーザー提供の入力から派生した変数を使用して、動的 SQL クエリを構築します。攻撃者はこの欠陥を悪用して、データベースに対して任意の SQL クエリを実行する可能性があります。

推奨事項
SQL クエリを動的に構築することは避けてください。代わりに、パラメータ化されたプリペアド ステートメントを使用して、データベースがバインド変数の内容をクエリの一部として解釈しないようにします。可能な場合は集中型のデータ検証ルーチンを使用して、ユーザー提供の入力を常に検証して、期待される形式に準拠していることを確認します。

0 投票する
3 に答える
4029 参照

c# - XML 外部エンティティ参照エラーの不適切な制限を修正できません

の Veracode エラーを修正しようとしてコードを変更しましたが、Improper Restriction of XML External Entity Reference修正されませんでした。

ここに私が今持っているコードがあります:

ただし、Veracode は、同じエラー メッセージでコードのこのセクションを指摘しています。

それを修正するために私がしなければならないことは他にありますか?外部参照はありません。すべてがイントラネット経由です。

0 投票する
4 に答える
31232 参照

c# - C# で外部エンティティの解決を無効にするように XML パーサーを構成する方法

関数で上記のコードを使用して XML ファイルをロードしています。機能的には問題なく動作しますが、Veracode チェック後に次の Veracode Flaw が表示されます。

説明

この製品は、意図した制御範囲外のドキュメントに解決される URL を持つ XML エンティティを含む可能性のある XML ドキュメントを処理し、製品がその出力に誤ったドキュメントを埋め込む原因となります。デフォルトでは、XML エンティティ リゾルバは外部参照の解決と取得を試みます。攻撃者が制御する XML をこれらの関数のいずれかに送信できる場合、攻撃者は内部ネットワーク、ローカル ファイル システム、またはその他の機密データに関する情報にアクセスできる可能性があります。これは、XML eXternal Entity (XXE) 攻撃として知られています。

推奨事項

XML パーサーを構成して、外部エンティティーの解決を無効にします。

それを解決するために私がしなければならないこと。

0 投票する
2 に答える
5445 参照

c# - Veracode ディレクトリ トラバーサルの問題 c#

ファイルをサーバーに保存する次のコードがあります。

Veracodeを分析した後、オンラインでディレクトリトラバースの問題が発生しますFileStream dataFile = new FileStream(dataFileServerPath, FileMode.Create)

この問題が発生するのはなぜですか。ファイル拡張子が自分のケースで有効かどうかを確認し、その値を fileName に渡しました。これはセキュリティ上の問題ですか? また、この問題を解決するにはどうすればよいですか?

_documentService.getPath特定のユーザーのweb.configとファイル名からのパスを追加するだけで、ユーザー入力とは関係ありません。

0 投票する
2 に答える
1406 参照

java - Veracode スキャンの信頼境界違反の結果を解決する方法は?

下の行で違反が発生しています

どこdataListですかArrayList

Constants.DATA_LIST戻りますString

信頼境界違反の欠陥を回避するために、これを修正する方法を教えてください。

0 投票する
1 に答える
1011 参照

asp.net - [Dapper] を使用するプロジェクトが Veracode によって CWE ID 89 (SQL コマンドで使用される特殊要素の不適切な中和) として報告される

セキュリティ認証を取得するために、Veracode によってスキャンされている .Net 4.0 プロジェクトがあります。

静的スキャン中に次の脆弱性が発見されました: SQL コマンドで使用される特殊要素の不適切な中和 (「SQL インジェクション」) (CWE ID 89) https://cwe.mitre.org/data/definitions/89 で詳細を参照してください。 html

Dapper を参照していると思われるレポートの詳細ファイルと行番号:

OurOwnDll.dll dev/.../dapper net40/sqlmapper.cs 1138

App_Browsers.dll dev/.../sqlmapperasync.cs 126

OurOwnDll は Dapper を使用しています。

App_Browsers.dll どこから来たのかはわかりませんが、サイト プロジェクトに関連しているようで、asp.net のブラウザ機能の検出に関連しているようです。

この脆弱性を防ぐ方法があれば教えてください。


12345678910