問題タブ [veracode]

誰かがVeraコードキャニングエラーの下のJavaコーディングソリューションを教えてもらえますか?

ファイルを作成し、ファイルの場所を引数として渡します。

コードを検証するために使用Veracodeしています。以下のメソッドの「return collectionService.getAllNotificationDrop()」行で「CWE-80: Web ページ内のスクリプト関連 HTML タグの不適切な中和 (基本 XSS)」というエラーが表示されます。

この問題の解決にご協力ください。ここ数日、手がかりがありません。

Veracode を使用してコーディングをスキャンしています。その結果、51 行目で SQL インジェクションの可能性が報告されました。コードは次のとおりです。

これが SQL インジェクションの問題である理由と、そうである場合の修正方法を知りたいです。

Web サイトをホストしている Azure App Service で、一種の自動ペン テスターである Veracode の Dynamic Sc​​an を実行しようとしています。条件https://security-forms.azure.com/penetration-testing/termsには、「一般的な既製の脆弱性スキャナーを実行する場合、ペンテスト フォームの提出は必要ありません。事前承認は必要ありません。 "。

Veracode の動的スキャンは、「既製の脆弱性スキャナー」としてカウントされますか?

ASP.Net と C# のレガシー Web アプリケーションがあり、ベラコード スキャンによって発生した約 400 プラスのクロス サイト スクリプティングの欠陥が発生しています。サンプルの Web アプリケーションを作成して問題をシミュレートしたところ、文字列入力を直接使用していると必ず問題が発生することがわかりました。実行することでベラコードHttpUtility.HtmlEncode(TextBox1.Text);"は満たされますが、この変更を 400 箇所すべてに適用することは現実的ではありません。すべての入力が1か所でエンコードされ、どこでも変更する必要がないように、httphandlerにプラグインを実装する方法を探しています。これが可能であれば、誰かが私を操縦してください. よろしくお願いします。

HttpUtility.HTMLEncode 行を削除すると、Veracode が文句を言います。この文字列操作を行う場所が非常に多いため、これをどこにでも実装することは現実的ではありません。このエンコーディングを 1 つの場所に実装し、すべての応答と要求がそのパイプライン (HTTPHandler と HTTPModule など) を通過するようにすることは可能でしょうか。

（すみません、これがばかげた質問であれば....）

Veracode は、私の Web サイトに、web.config からの接続文字列の使用に関連するセキュリティ上の問題があることを報告しています。

これが私のコードです。

ベラコードは次のように述べています。

この system_data_dll.System.Data.SqlClient.SqlConnection.!newinit_0_1() への呼び出しにより、システム設定の外部制御が可能になります。関数への引数は、ユーザー提供の入力を使用して構築されます。これにより、サービスが中断されたり、アプリケーションが予期しない方法で動作したりする可能性があります。!newinit_0_1() の最初の引数には、変数 connStr からの汚染されたデータが含まれています。汚染されたデータは、system_web_dll.system.web.httprequest.get_item、system_data_dll.system.data.common.dbdataadapter.fill、system_data_dll.system.data.sqlclient.sqlcommand.executescalar、および fmmobile8_dll.virtualcontroller.vc_wcfentry への以前の呼び出しに由来します。

修復:

ユーザー提供のデータやその他の信頼できないデータがシステムレベルの設定を制御することを決して許可しないでください。可能な場合は集中型のデータ検証ルーチンを使用して、ユーザー提供の入力を常に検証して、期待される形式に準拠していることを確認します。

同じ問題が CWE によって報告されました: http://cwe.mitre.org/data/definitions/15.html

OK、Veracode からの提案によると、接続文字列を使用して SqlConnection オブジェクトを作成する前に、その形式を確認する必要があります。

また、接続文字列の形式を確認する方法について、Google の教授に尋ねました。しかし、返された結果は、SqlConnection オブジェクトを作成してから開く必要があることを示しています。

応答が OK の場合、接続文字列も有効な形式を意味します。それ以外の場合、接続文字列は無効です。

残念ながら、Veracode はこの回答を受け入れません。

だから、私の質問はそれです：

SqlConnection オブジェクトを作成する前に、接続文字列の形式を確認する必要がありますか (Veracode が言ったように)。はいの場合、どのように？

Veracode Static Sc​​an レポートは、コンテンツ プロバイダーの実装における SQL インジェクションの欠陥を指摘しています。

以前、この欠陥に関するすべての疑問に関連するこの質問を投稿しました。

そして、いくつかの議論の後、レポートで誤検知である可能性があるという結論に達しました. 私が調査して読んだことによると、SQL インジェクションを回避するために、Androidドキュメントやその他の参照ソースに記載されているセキュリティ ガイドラインに従っていたからです。

SQLクエリに渡されたデータに対して少なくともいくつかの入力検証を実行するようにという提案がどこにでもあります.欠陥の理由であるこの可能性をカバーしたいと思います. 誰もが、クエリに渡す前にデータをサニタイズするように求めています。コンテンツ プロバイダーの delete()、update() メソッドに渡された selectionArgs 配列に渡された変数を正確にサニタイズするにはどうすればよいですか?

DatabaseUtils.sqlEscapeString()で十分ですか? 提案してください！

変数をサニタイズする必要がある実装は次のとおりです。

レポートは欠陥を指摘しています: SQL コマンドで使用される特殊要素の不適切な中和 (「SQL インジェクション」) (CWEID 89)この行

削除 = db.delete(BulletinTable.TABLE_NAME, selection, selectionArgs); 以下のコードで：