安全缺陷-veracode报告-crlf注入
这是正确的解决办法吗?我还能做什么?
这是报告信息:标题:日志的不正确输出中和
描述:函数调用可能导致日志伪造攻击。将未经处理的用户提供的数据写入日志文件可使攻击者伪造日志条目或将恶意内容注入日志文件。损坏的日志文件可用于掩盖攻击者的踪迹,或作为攻击日志查看或处理实用程序的传递机制。例如,如果web管理员使用基于浏览器的实用程序查看日志,则可能会发生跨站点脚本攻击。
共有1个答案
我是Veracode应用程序安全咨询小组的负责人,可以详细回答您的问题。谈话的最佳地点是通过support@veracode.com,因为讨论可能涉及到关于你的发现的具体细节,我们可能想避免公开。
简而言之,stringescapeutils.escapejava()可以有效地消除典型的CRLF风险,但它不是系统自动识别的机制之一,因为在某些情况下它可能不够。
Veracode系统有一个适当标记这些发现的机制,这样它们就不会引起混乱。
-
我一直在研究一个veracode缺陷,我相信它已经被修复,因为我们已经在做编码了。forJava。但它仍被视为一个缺陷进行扫描。如果我错过了什么,有人能帮我吗?以下是代码片段: 非常感谢你的帮助。
-
本文向大家介绍缺陷报告内容有哪些?相关面试题,主要包含被问及缺陷报告内容有哪些?时的应答技巧和注意事项,需要的朋友参考一下 三部分:基本信息、缺陷主体、跟踪记录 ①基本信息:编号、版本号、软件名称、编译号、测试人员、日期、指定处理人、硬件平台、操作系统、严重程度、优先级 ②缺陷主体:缺陷概述、预置条件、详细描述、预期结果、实际结果 ③跟踪记录:处理报告、处理日期、修改记录、返测人、返测版本、返测日
-
本文向大家介绍缺陷报告原则有哪些?相关面试题,主要包含被问及缺陷报告原则有哪些?时的应答技巧和注意事项,需要的朋友参考一下 ①Correct(准确):每个组成部分的描述准确,不会引起误解; ②Clear(清晰):每个组成部分的描述清晰,易于理解; ③Concise(简洁):只包含必不可少的信息,不包括任何多余的内容; ④Complete(完整):包含复现该缺陷的完整步骤和其他本质信息; ⑤Cons
-
本文向大家介绍缺陷报告包括哪些要素?相关面试题,主要包含被问及缺陷报告包括哪些要素?时的应答技巧和注意事项,需要的朋友参考一下 1)和bug产生对应的软件版本 2)开发的接口人员 3)bug的优先级 4)bug的严重程度 5)bug可能属于的模块,如果不能确认,可以用开发人员来判断 6)bug标题,需要清晰的描述现象 7)bug描述,需要尽量给出重新bug的步骤 8)bug附件中能给出相关的日志和
-
本文向大家介绍缺陷报告的用途是什么?相关面试题,主要包含被问及缺陷报告的用途是什么?时的应答技巧和注意事项,需要的朋友参考一下 ①记录缺陷 ②缺陷分类 ③缺陷跟踪
-
今天当我重新浏览Veracode的时候重新打开了一系列的线路比如... 为什么被认为是“网页中与脚本相关的HTML标记的不正确中和(基本XSS”缺陷)?以及为什么今天突然出现,以前从未在任何其他扫描中出现过。 这似乎对我来说很好,或者如果不是,如何修复/mitagate?