問題タブ [veracode]

J2EE の悪い習慣: System.exit() の使用

VeraCode スキャンは、上記のセキュリティ上の欠陥を示しています。Vera Code は、System.exit が main() メソッド以外を使用した場所を指しています。

System.exit(1) の目的は、バッチ ジョブの実行中に接続が無効になった場合にシステムを終了することです。

Vera Code スキャンに合格するために System.exit(1) に代わるものは何ですか。

私たちが開発したシステムは、セキュリティ上の欠陥のために Veracode を介して実行されました。モーダル ダイアログでビューをポップアップ表示する JavaScript 関数の「Web ページ内のスクリプト関連 HTML タグの不適切な無効化 (基本 XSS)」項目が強調表示されました。ビューにはデータ入力がなく、以前に入力したデータは表示されません。

問題はトランザクションIDですか？システムで生成され、隠しフィールドに保持されます。もしそうなら、ビューのカミソリ構文 ($.get によって返される) に適用することで、この問題を軽減するのに十分でしょうかHTML.Encode()? transactionID実際、Veracode は.html()、javascript で を使用するたびにこのエラーを発生させるようです。JS ファイルを引き出すのは大変html()な作業です。誰でもできる助けをいただければ幸いです。

but でいくつか検索しましたが、Veracode Scan の目的を見つけることができませんでした。また、ベラコードスキャナーがJenkinsにプラグインされている理由を知りたいです。

誰でもこれで私を助けることができますか？wikiページでも答えが見つからないので、ここに投稿します。

SQLインジェクションを回避することをどこかで読んだので、パラメーター化されたクエリを作成した次のコードがあります。しかし、この変更を行った後も、まだ SQL インジェクションの脆弱性が発生しています。

プロジェクトの複数の場所でこのセキュリティ上の欠陥に直面しています。この欠陥が発生するたびにチェックするためのホワイトリストはありません。ESAPI 呼び出しを使用して、ファイル名の基本的なブラックリスト チェックを実行したいと考えています。ESAPI の SafeFile オブジェクトを使用できると読みましたが、その方法と場所がわかりません。

以下は私が思いついたいくつかのオプションです。どれがうまくいくか教えてください。

ESAPI.validator().getValidInput()また
ESAPI.validator().getValidFileName()

以下のコードで 1 つの高いベラコード スキャンの問題が発生しています。それを解決するためにどのような変更を加える必要がありますか。

Veracode は、次のコード行に失敗します。

誰かがそれを修正する方法について何か考えを持っていますか?