修复CWE-113:HTTP标头中CRLF序列的不正确中和(“HTTP响应拆分”)
运行veracode扫描后,我得到了CWE 113错误。我已经找到了替换cookie值的解决方案,但问题仍然没有解决。
修复CWE-113:HTTP标头中CRLF序列的不正确中和(“HTTP响应拆分”)
string ReplaceHTTPRequestValue(string Value)
{
string replacedValue = string.Empty;
if (!string.IsNullOrEmpty(Value))
{
replacedValue = Value.Replace("\r", string.Empty)
.Replace("%0d", string.Empty)
.Replace("%0D", string.Empty)
.Replace("\n", string.Empty)
.Replace("%0a", string.Empty)
.Replace("%0A", string.Empty);
}
return replacedValue;
}
void WebTrends_PreRender()
{
HttpCookie cookie = Request.Cookies["WT_CID"];
string campaignIdVal = string.Empty;
if (cookie != null)
{
campaignIdVal = ReplaceHTTPRequestValue(Request.Cookies["WT_CID"].Value);
}
else
{
campaignIdVal = string.Empty;
}
}
我该如何解决这个问题?
共有2个答案
string ReplaceHTTPRequestValue(string Value){
string NonCRLF=string.Empty;
foreach (char item in Value)
{
NonCRLF += item.ToString().Replace("\n", "").Replace("\r","");
}
return NonCRLF;
}
请查看此链接https://community.veracode.com/s/question/0D53n00007YVaMrCAL/how-to-fix-flaws-for-cwe-id-113-http-response-splitting
继续报告该漏洞的原因很可能是因为您正在使用的功能不在支持的清理功能列表中,您可以在这里的帮助中心找到该列表:https://help.veracode.com/go/review_cleansers.例如支持的功能组织。owasp。编码器。编码forJava()将为CWE-113以及CWE-117、CWE-80和CWE-93进行清理。请注意,为上下文选择适当的清理功能很重要。
-
任何人都知道如何解决这个veracode问题(CWE 113) 我已经尝试了下面的链接,但它不工作。 修复CWE-113:HTTP标头中CRLF序列的不正确中和(“HTTP响应拆分”) 下面是我遇到问题的函数。
-
运行VeraCode后,它在以下代码片段中报告了以下错误“HTTP头中CRLF序列的不正确中和('HTTP响应拆分”): 报告指向包含以下代码的行:Response。饼干。Set(languageCookie);可以使用什么修复来消除该错误? 谢谢的
-
R之后 描述-函数调用包含HTTP响应分割漏洞。将未经初始化的用户提供的输入写入HTTP标头允许攻击者操纵浏览器呈现的HTTP响应,从而导致缓存中毒和跨站点脚本攻击。
-
我在我的项目上运行了Veracode扫描,它在HTTP响应拆分下给了我CWE ID 113问题。我试图用这些建议来解决这个问题,但没有成功。例如 上面的代码来自其中一个文件。并报告显示行错误 有什么建议,如何解决这个问题?
-
我已经通过了这个链接。[如何修复“HTTP标头中CRLF序列的不正确中和('HTTP响应拆分')” 但它并没有给我解决方案。 我的代码也给出错误“HTTP标头中CRLF序列的不正确中和('HTTP响应拆分') 我的代码片段是: 在veracode扫描中,最后一行出现错误。不知道该怎么办。
-
我一直在研究一个veracode缺陷,我相信它已经被修复,因为我们已经在做编码了。forJava。但它仍被视为一个缺陷进行扫描。如果我错过了什么,有人能帮我吗?以下是代码片段: 非常感谢你的帮助。