CRLF序列中和不当(“CRLF注射”)(CWE ID 93)
在Veracode报告中,我在一些java文件中发现了错误CWE 93。在静态扫描的情况下,一些代码是
MimeMessage msg=new MimeMessage(会话);msg.setfrom(new InternetAddress(msmtpfrom));
2.msg.set收件人(消息。收件人类型。收件人,地址);
我怎么解决?
提前感谢
共有1个答案
只需将字符串变量(如msmtpfrom、address)中出现的CRLF替换为空字符串(“”)。看看有相关答案的类似问题:如何修复“HTTP头中CRLF序列的不正确中和('HTTP响应拆分')”
-
我一直在研究一个veracode缺陷,我相信它已经被修复,因为我们已经在做编码了。forJava。但它仍被视为一个缺陷进行扫描。如果我错过了什么,有人能帮我吗?以下是代码片段: 非常感谢你的帮助。
-
此代码: 尽管我用s=s.replace删除了s中任何不需要的字符串,但仍然给了我CWE ID 93。在示例中,我发现了一个web,s=s.replace应该是解决方案,但我仍然有这个缺陷?我错过了什么?任何提示都将不胜感激!
-
CRLF 注入是一类漏洞,在用户设法向应用插入 CRLF 时出现。在多种互联网协议中,包括 HTML,CRLF 字符表示了行的末尾,通常表示为\r\n,编码后是%0D%0A。在和 HTTP 请求或响应头组合时,这可以用于表示一行的结束,并且可能导致不同的漏洞,包括 HTTP 请求走私和 HTTP 响应分割。 对 HTTP 请求走私而言,它通常在 HTTP 请求传给服务器,服务器处理它并传给另一个服
-
我在我的项目上运行了Veracode扫描,它在HTTP响应拆分下给了我CWE ID 113问题。我试图用这些建议来解决这个问题,但没有成功。例如 上面的代码来自其中一个文件。并报告显示行错误 有什么建议,如何解决这个问题?
-
我已经通过了这个链接。[如何修复“HTTP标头中CRLF序列的不正确中和('HTTP响应拆分')” 但它并没有给我解决方案。 我的代码也给出错误“HTTP标头中CRLF序列的不正确中和('HTTP响应拆分') 我的代码片段是: 在veracode扫描中,最后一行出现错误。不知道该怎么办。
-
任何人都知道如何解决这个veracode问题(CWE 113) 我已经尝试了下面的链接,但它不工作。 修复CWE-113:HTTP标头中CRLF序列的不正确中和(“HTTP响应拆分”) 下面是我遇到问题的函数。