Veracode缺陷CWE-93:CRLF序列的不正确中和('CRLF注入')
我一直在研究一个veracode缺陷,我相信它已经被修复,因为我们已经在做编码了。forJava。但它仍被视为一个缺陷进行扫描。如果我错过了什么,有人能帮我吗?以下是代码片段:
InternetAddress[] addressCC = { new InternetAddress(Encode.forJava(strCc)) };
msg.setRecipients(Message.RecipientType.CC, addressCC);
非常感谢你的帮助。
共有1个答案
不要使用复数形式的方法。
相反:
如果您只有一个电子邮件地址要添加,您可以使用以下内容:
msg.setRecipient(Message.RecipientType.CC, new InternetAddress(Encode.forJava(address)));
如果您需要添加多个地址,您可以像这样多次调用addRecipient():
for (String address: recipients) {
msg.addRecipient(Message.RecipientType.TO, new InternetAddress(Encode.forJava(address)));
}
-
在Veracode报告中,我在一些java文件中发现了错误CWE 93。在静态扫描的情况下,一些代码是 2. 我怎么解决? 提前感谢
-
这是正确的解决办法吗?我还能做什么? 这是报告信息:标题:日志的不正确输出中和 描述:函数调用可能导致日志伪造攻击。将未经处理的用户提供的数据写入日志文件可使攻击者伪造日志条目或将恶意内容注入日志文件。损坏的日志文件可用于掩盖攻击者的踪迹,或作为攻击日志查看或处理实用程序的传递机制。例如,如果web管理员使用基于浏览器的实用程序查看日志,则可能会发生跨站点脚本攻击。
-
此代码: 尽管我用s=s.replace删除了s中任何不需要的字符串,但仍然给了我CWE ID 93。在示例中,我发现了一个web,s=s.replace应该是解决方案,但我仍然有这个缺陷?我错过了什么?任何提示都将不胜感激!
-
任何人都知道如何解决这个veracode问题(CWE 113) 我已经尝试了下面的链接,但它不工作。 修复CWE-113:HTTP标头中CRLF序列的不正确中和(“HTTP响应拆分”) 下面是我遇到问题的函数。
-
我在我的项目上运行了Veracode扫描,它在HTTP响应拆分下给了我CWE ID 113问题。我试图用这些建议来解决这个问题,但没有成功。例如 上面的代码来自其中一个文件。并报告显示行错误 有什么建议,如何解决这个问题?
-
这是一个slf4j记录器,我一直在尝试使用2个消息参数记录错误。 结果为字符串“遇到超时错误” 我用过的东西 > 字符串生成器附加String 不过,我在veracode报告中看到了这个问题。 有什么建议吗?