当前位置: 首页 > 知识库问答 >
问题:

使用检查玛克斯工具在代码扫描期间获取检查马克思路径遍历问题

姬俊驰
2023-03-14

在执行 HttpWeb 请求时获取检查火星路径遍历问题,

checkmarx的错误消息:从headers元素获取动态数据。然后,这个元素的值流经代码,最终用于本地磁盘访问的文件路径。

我在标头中传递的唯一输入是用于访问 API 的令牌。有没有办法克服这个问题?

下面是代码,我从cookie中获取令牌,并将其与httpRequest一起传递。

Dim responseString As String = ExecuteURL("www.mysite.com\action")

Private Function ExecuteURL(ByVal url As String) As String

        Dim basicRequest As HttpWebRequest = DirectCast(WebRequest.Create(url), HttpWebRequest)
        basicRequest.ContentType = "application/json; charset=utf-8"
        basicRequest.Method = "GET"

        Dim cookie As HttpCookie = HttpContext.Current.Request.Cookies("token")
        If Not cookie Is Nothing AndAlso Not String.IsNullOrEmpty(cookie.Value) Then
            basicRequest.Headers.Add("Authorization", "service" + cookie.Value)
        End If
        Dim response As HttpWebResponse
        Try
            response = CType(basicRequest.GetResponse(), HttpWebResponse)
            If Not response Is Nothing Then
                Using streamReader As StreamReader = New StreamReader(response.GetResponseStream())
                    Return streamReader.ReadToEnd()
                End Using
            End If
        Catch ex As System.Net.WebException
            Using streamReader As StreamReader = New StreamReader(ex.Response.GetResponseStream())
                Return streamReader.ReadToEnd()
            End Using
        End Try

        Return String.Empty
    End Function

共有1个答案

干鑫鹏
2023-03-14

这也是owasp中提到的漏洞之一。为了更好地理解和解决问题,我建议阅读以下内容:https://blog . thoughten security . com/2018/10/how-to-prevent-path-traversal-in-net . html

 类似资料:
  • 有谁知道如何修复Checkmarx漏洞 - 基于java的应用程序的跨站点历史记录操作?以下是Checkmarx扫描提供的描述 - “该方法可能会泄漏服务器端条件值,从而允许用户从另一个网站进行跟踪。这可能构成侵犯隐私。 这是相关代码: 通过谷歌搜索,我发现了一些Checkmarx留档,建议在重定向网址中添加一个随机数。这是文档的链接:https://www.checkmarx.com/wp-co

  • 我正在使用Pax考试(3.5.0)进行OSGi单元测试。我已经创建了一个测试,但是当我运行它时,我得到了这个堆栈跟踪: 我已经配置了在选项中,我看到了。 但我还是有例外。有人知道我做错了什么吗? 干杯

  • 我收到循环条件检查问题的未检查输入 我尝试了推荐的代码处理,但它对我不起作用。 检查马克思报告的描述: 我尝试了下面的代码:

  • 在 Java 中,在下面的行中: 也就是说,变量结果需要正确过滤或编码,否则可能会启用跨站点脚本攻击。 我已经使用了< code > html utils . html scape(query String) String对象。 任何帮助和建议将不胜感激。谢谢

  • 遵循良好的代码规范是很有必要的。随着业务的发展,项目的持续集成,代码的复杂性会变得越来越高。在业务逻辑变得越来越复杂的时候,如果没有统一的规范进行约束,代码的可阅读性会越来越差,这样拓展和维护都将会变得非常棘手。遵守代码规范,能够让多人开发维护的项目代码风格保持统一,提高可阅读性,同时也能够在编码过程中规避掉一些低级错误和需要避开的坑,降低出错概率。 百度前端编码规范 百度提供了一套包括 Java

  • 我正在使用cmake Gui构建开罗。当我点击“配置”时,Cmake显示以下错误: 找不到PIXMAN,尝试在系统变量PIXMAN中设置PIXMAN根文件夹的路径(缺少:PIXMAN_LIBRARIESPIXMAN_INCLUDE_DIRS) 找不到ZLIB(缺少:ZLIB_LIBRARYZLIB_INCLUDE_DIR) C:/cmake-3.7.0-rc1-win32-x86/share/cm