问题：

使用检查玛克斯工具在代码扫描期间获取检查马克思路径遍历问题

姬俊驰

2023-03-14

在执行 HttpWeb 请求时获取检查火星路径遍历问题，

checkmarx的错误消息:从headers元素获取动态数据。然后，这个元素的值流经代码，最终用于本地磁盘访问的文件路径。

我在标头中传递的唯一输入是用于访问 API 的令牌。有没有办法克服这个问题？

下面是代码，我从cookie中获取令牌，并将其与httpRequest一起传递。

Dim responseString As String = ExecuteURL("www.mysite.com\action")

Private Function ExecuteURL(ByVal url As String) As String

        Dim basicRequest As HttpWebRequest = DirectCast(WebRequest.Create(url), HttpWebRequest)
        basicRequest.ContentType = "application/json; charset=utf-8"
        basicRequest.Method = "GET"

        Dim cookie As HttpCookie = HttpContext.Current.Request.Cookies("token")
        If Not cookie Is Nothing AndAlso Not String.IsNullOrEmpty(cookie.Value) Then
            basicRequest.Headers.Add("Authorization", "service" + cookie.Value)
        End If
        Dim response As HttpWebResponse
        Try
            response = CType(basicRequest.GetResponse(), HttpWebResponse)
            If Not response Is Nothing Then
                Using streamReader As StreamReader = New StreamReader(response.GetResponseStream())
                    Return streamReader.ReadToEnd()
                End Using
            End If
        Catch ex As System.Net.WebException
            Using streamReader As StreamReader = New StreamReader(ex.Response.GetResponseStream())
                Return streamReader.ReadToEnd()
            End Using
        End Try

        Return String.Empty
    End Function

共有1个答案

干鑫鹏

2023-03-14

这也是owasp中提到的漏洞之一。为了更好地理解和解决问题，我建议阅读以下内容:https://blog . thoughten security . com/2018/10/how-to-prevent-path-traversal-in-net . html

类似资料：

跨站点历史记录操作（检查马克斯）

有谁知道如何修复Checkmarx漏洞 - 基于java的应用程序的跨站点历史记录操作？以下是Checkmarx扫描提供的描述 - “该方法可能会泄漏服务器端条件值，从而允许用户从另一个网站进行跟踪。这可能构成侵犯隐私。这是相关代码：通过谷歌搜索，我发现了一些Checkmarx留档，建议在重定向网址中添加一个随机数。这是文档的链接：https://www.checkmarx.com/wp-co
ClassNotFoundException:org。阿帕奇。菲利克斯。马克。带Pax检查的DependencyActivatorBase

我正在使用Pax考试（3.5.0）进行OSGi单元测试。我已经创建了一个测试，但是当我运行它时，我得到了这个堆栈跟踪：我已经配置了在选项中，我看到了。但我还是有例外。有人知道我做错了什么吗？干杯
如何解决java中循环条件检查马克斯的未检查输入问题

我收到循环条件检查问题的未检查输入我尝试了推荐的代码处理，但它对我不起作用。检查马克思报告的描述：我尝试了下面的代码：
如何从获取结果列表元素修复检查马尔克斯存储的XSS问题

在 Java 中，在下面的行中：也就是说，变量结果需要正确过滤或编码，否则可能会启用跨站点脚本攻击。我已经使用了< code > html utils . html scape(query String) String对象。任何帮助和建议将不胜感激。谢谢
代码规范与代码检查工具

遵循良好的代码规范是很有必要的。随着业务的发展，项目的持续集成，代码的复杂性会变得越来越高。在业务逻辑变得越来越复杂的时候，如果没有统一的规范进行约束，代码的可阅读性会越来越差，这样拓展和维护都将会变得非常棘手。遵守代码规范，能够让多人开发维护的项目代码风格保持统一，提高可阅读性，同时也能够在编码过程中规避掉一些低级错误和需要避开的坑，降低出错概率。百度前端编码规范百度提供了一套包括 Java
找不到皮克斯曼 - 克马克错误

我正在使用cmake Gui构建开罗。当我点击“配置”时，Cmake显示以下错误：找不到PIXMAN，尝试在系统变量PIXMAN中设置PIXMAN根文件夹的路径（缺少：PIXMAN_LIBRARIESPIXMAN_INCLUDE_DIRS）找不到ZLIB（缺少：ZLIB_LIBRARYZLIB_INCLUDE_DIR） C：/cmake-3.7.0-rc1-win32-x86/share/cm

使用检查玛克斯工具在代码扫描期间获取检查马克思路径遍历问题

共有1个答案

相关问答

相关文章

相关阅读

相关工具

相关文档