在VB.NET中修复Veracode CWE ID 117 (日志的输出中和不正确)
在VB.NET中修复Veracode CWE ID 117 (日志的输出中和不正确)
CWE ID 117是Veracode中的一个常见弱点,指的是在日志输出中使用不正确的格式化字符串。这种漏洞可能导致信息泄露、拒绝服务攻击或远程代码执行等安全风险。为了修复这个问题,我们可以采取以下步骤:
- 使用正确的格式化字符串:在VB.NET中,我们可以使用String.Format方法或者插值字符串来格式化日志输出。确保在格式化字符串中使用正确的占位符,并将要输出的值作为参数传递给格式化方法。
- 避免拼接字符串:不要直接将敏感信息或用户输入拼接到日志输出中,因为这可能会导致格式化字符串漏洞。相反,应该使用格式化字符串的方式将这些值插入到日志中。
- 对用户输入进行验证和过滤:如果必须将用户输入包含在日志中,确保对输入进行验证和过滤,以防止恶意输入或特殊字符导致的格式化字符串漏洞。
- 使用日志库:建议使用成熟的日志库,如log4net或NLog,而不是手动处理日志输出。这些库通常具有内置的安全性和格式化字符串处理功能,可以帮助我们避免常见的漏洞。
- 安全审查和测试:进行安全审查和测试,以确保修复后的代码没有其他安全漏洞。可以使用静态代码分析工具、安全扫描工具或进行手动代码审查来检查代码中是否存在其他潜在的漏洞。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云日志服务:https://cloud.tencent.com/product/cls
- 腾讯云安全中心:https://cloud.tencent.com/product/ssc
- 腾讯云静态扫描:https://cloud.tencent.com/product/ssc-staticscan
请注意,以上答案仅供参考,具体修复方法可能因实际情况而异。在实际应用中,建议根据具体的代码和环境进行适当的调整和测试。
相关·内容
CWE-117是日志中输出中和不正确的常见弱点枚举。我的公司使用VeraCode扫描安全漏洞。Veracode指出,该代码有一个输出中和弱点:
catch (Exception e)
{
_logger.ErrorFormat(_loggerFormat, "An error occurred (while doing something redacted)", e.Message.ToString());
result = SomeEnum.Exception
}
_logger是一个ILogger,它使用log4net。
我认为异常消息不是不受信任的数据,因
浏览 0提问于2021-06-10得票数 0
回答已采纳
我的软件使用RabbitMQ进行通信。但是,Veracode已经从amqp-client库中标记了CWE 117 (日志的输出中和不正确)。
我试图升级到最新版本(4.11.3),但Veracode仍然不让我通过。我无法进一步升级,因为我的软件是用Java7编写的,而且客户端没有任何升级到Java8的计划。
我能在我的软件代码中做些什么来解决CWE 117问题吗?
浏览 2提问于2019-08-12得票数 0
我在一些论坛上读到了这样的神话,即通过这样的操作就足以通过Veracode CWE 117 (日志的不适当输出中和)问题。有人能确认一下是否是这样吗?
message.replaceAll("\r", "_").replaceAll("\n", "_");
从这个话题中,我了解到我需要这样做
ESAPI.encoder().encodeForHTML(message);
浏览 4提问于2017-10-04得票数 2
回答已采纳
我有一个JSP页面,我从一个属性文件中获取URL,如下所示- <spring:eval expression="@environment.getProperty('url.home')" var="homeUrl" /> 它的用法如下- <a target="_blank" href='${homeUrl}'>
<span>Home</span>
</a> 我收到了href='${homeUrl}'的veracode问题CWE-80
浏览 12提问于2019-05-21得票数 0
回答已采纳
我已经看过这个链接了。[如何修复“HTTP Header中CRLF序列的不正确中和('HTTP Response Splitting')"](https://stackoverflow.com/questions/21993290/how-to-fix-improper-neutralization-of-crlf-sequences-in-http-headers-http-res)
但它并没有给我提供解决方案。
我的代码还给出了一个错误:“CRLF Sequence in HTTP Headers ('HTTP Response Splitting‘)CWE
浏览 6提问于2014-05-07得票数 5
5回答
我在下面的代码行中遇到了veracode问题
<input type = "hidden" name = "studentName" value = "<%=viewBean.getStudName()%>">
问题是在<%=viewBean.getStudName()%>上,报告的问题是“网页中与脚本相关的超文本标记语言(Basic XSS)的不正确中和。我尝试过cwe.mitre.org中给出的修复程序,但我无法正确应用它。有谁可以帮助解决这个问题吗?”
浏览 2提问于2014-10-30得票数 2
对于下面的代码,我得到了名为"CWE-80: Web Page (Basic XSS)中与脚本相关的HTML标记的不适当中和“的veracode漏洞问题。
var planNumber = <%=request.getParameter("planNumber") %>;
var guid = "<%=trivisionApp.getCustomerGUID() %>";
还有另一类名为"CWE-201:在发送的数据中插入敏感信息“的漏洞问题,用于以下代码:
<script src="/acumepro/ja
浏览 2提问于2022-03-21得票数 0
回答已采纳
我有以下代码,如果我正确阅读了这个主题的其他主题,应该不会导致Veracode扫描标志CWE 117,但它是。还有其他一些关于Java/C#的“答案”,但我还没有找到任何关于VB.NET的答案。 我的代码是这样的: Public Function WriteToEventLog(ByVal Entry As String, Optional ByVal AppName As String = "adCoreLibrary", Optional ByVal EventType As EventLogEntryType = Nothing, Optional ByVal
浏览 41提问于2020-08-29得票数 0
在下面的代码中,我在try和InputStreamReader中使用了BufferedReader和InputStreamReader,但veracode将安全性报告为Improper Resource Shutdown or Release (CWE ID 404) try (final BufferedReader bsr = new BufferedReader(new InputStreamReader(Myutils.class.getClassLoader()
.getResourceAsStream("fileName.txt"))))
浏览 40提问于2020-07-02得票数 0
1回答
我有一个CWE 117问题报告在我的产品。
CWE 117的问题是,软件没有正确地净化或不正确地消毒写入日志的输出,我得到的一个可能的解决方案是在日志记录时添加以下内容。
String clean = args[1].replace('\n', '_').replace('\r', '_');
log.info(clean);
我的问题是,在log4j中是否有任何中心位置可以解决这个问题?
浏览 0提问于2015-06-18得票数 3
回答已采纳
我们在登录页面中使用web控制适配器。最近,我们在我们的web应用程序上运行VeraCode。在下面的函数中,我们得到了CWE80,不正确地中和了网页(Basic )中与脚本相关的HTML标记。
rev.ErrorMessage = msg;
下面是WebControlAdapterExtender类中的函数。
static public void WriteRegularExpressionValidator(HtmlTextWriter writer, RegularExpressionValidator rev, string className, string controlToVal
浏览 5提问于2014-02-20得票数 6
回答已采纳
我的前端javascript中有以下代码,它基本上读取csrf cookie值,并在通过jquery完成的ajax调用中设置它。
var csrftoken = self.getCookie('csrftoken');
xhr.setRequestHeader("X-CSRFToken", csrftoken);
这似乎是一种非常标准的技术,但Veracode将其报告为一个漏洞。
查看这种漏洞的详细信息,在https://cwe.mitre.org/data/definitions/113.html,我不认为这是一个问题,因为http头是从客户端
浏览 0提问于2020-01-06得票数 2
所以,当我们的web应用程序被扫描到Veracode时,我发现了许多跨站点脚本缺陷,
“Web页面(基本XSS)中与脚本相关的HTML标记的不适当中和”(CWE ID 80)。
而且,由于我们有几个缺点,我想不出如何解决这一特殊情况。下面是我的代码-
$(".ui-dialog-buttonset .ui-button:visible").each(function(index, item) {
var label = $(item).text();
if (label == "Save" || label == "Create&#
浏览 0提问于2018-12-04得票数 1
回答已采纳
如何在免费后修复Veracode的使用(CWE ID 416)
Veracode的建议:确保一旦指向的内存被释放,所有指针都被设置为NULL。
错误指向:第8行“返回结果;
+ (NSData *)dataFromBase64String:(NSString *)aString
{
NSData *data = [aString dataUsingEncoding:NSASCIIStringEncoding];
size_t outputLength = 0;
void *outputBuffer = NewBase64Decode([data bytes], [dat
浏览 4提问于2021-09-07得票数 0
我通过此行上的veracode发送的数据(CWE ID 201)获得信息公开。
response.setHeader("Content-disposition", "attachment; filename=\""+reportName+".pdf\"");
我该如何修复它?
浏览 0提问于2019-02-28得票数 0
3回答
我在我的项目上运行了Veracode scan,它在HTTP响应拆分下给出了CWE ID 113问题。我试着用这些建议来解决这个问题,但它不起作用。例如: try
{
String selNhid = req.getParameter("selNhid");
String redirectURL = "/nhwhoods?action=membersNH&selNhid="+selNhid;
res.sendRedirect(req.getContextPath() + redirectURL)
浏览 43提问于2019-04-16得票数 2
在Veracode静态扫描之后,会出现"Use of Wrong in String Comparison (CWE ID 597)“的警告。
以获取以下代码:
if (uid != null && uid != "") {
// LOG.info("Inside deleteUser of Active directory");
// HearsayLogger.message(HearsayLogger.TYPE_INFO, CLASSNAME, METHODNAME, "Inside deleteUser o
浏览 1提问于2015-04-14得票数 0
2回答
我向Veracode安全扫描工具提交了我的应用程序EAR,并在下面的代码中发现了这个缺陷:
private String url = "jdbc:mysql://localhost:8081/sql";
private String userName = "xyz";
private String password = "abc";
DriverManager.getConnection(url, user, password); // At this line i am getting this flaw.
谁能帮我解决CWE-259
浏览 1提问于2013-04-15得票数 3
我正在修复我的应用程序中的Veracode问题。Veracode突出显示了以下代码中的缺陷“外部控制文件名或路径(CWE ID 73)”。
Thread.currentThread().getContextClassLoader().getResourceAsStream(lookupName)
如何验证参数?如果我需要使用下面的ESAPI验证,那么我应该在getValidFileName()方法中传递的确切参数是什么。目前我传递的参数如下。
ESAPI.validator().getValidFileName(lookupName, lookupName,
ESAPI.s
浏览 3提问于2018-06-14得票数 2
出于安全考虑,我们需要获得jQuery支持的版本。出于安全考虑,是否有类似于PHP()中类似于终结生命/支持版本的jQuery版本的支持结束。
如果有人能帮上忙的话就合适了。
谢谢。
尊重,努万
浏览 1提问于2020-02-25得票数 8
回答已采纳
我用veracode扫描了这个项目,它给出了CWE ID 93(CRLF注入)的问题,这个问题发生在下面这条线-
InternetAddress[] address = {new InternetAddress(username)};
msg.setRecipients(Message.RecipientType.TO, address);
Veracode在上面代码的第二行将问题93标记出来。用户名是从请求对象(即字符串缓冲区)中解析的。
因此,我的一位同事建议我应该使用验证方法来删除CRLF字符。地址对象的验证方法会删除CRLF分隔符吗?
浏览 3提问于2019-06-19得票数 0
我正在花时间尝试修复veracode扫描缺陷CWE-80网页中与脚本相关的HTML标记的不正确中和(基本XSS)。
我所做的是对我的后端进行HTTP调用,以便打开一个包含下载文件的blob。
const xhr = new XMLHttpRequest();
xhr.open("GET", url, true);
xhr.responseType = "arraybuffer";
xhr.onreadystatechange = () => {
if (xhr.readyState === 4 &&
浏览 29提问于2019-11-29得票数 4
回答已采纳
@Override
public AssetLibraryReference selectALRefByName(String entityName,String name) throws Exception {
AssetLibraryReference returnRef = null;
String query = "from " + entityName + " where name = :name ";
try {
returnRef = sessionQueryUtil.doSessionQuery
浏览 36提问于2020-08-24得票数 1
在微服务体系结构中,我使用restTemplate进行同步的服务间通信.
当我们完成Veracode扫描时,我们将得到getForEntity方法中的Server-Side Request Forgery (SSRF) (CWE ID 918)。
restTemplate.getForEntity(URL, Entity.class);
不知道为什么我会有这个SSRF问题?
解决这个问题的可能方法是什么?
浏览 6提问于2021-01-12得票数 1
回答已采纳
我有一段代码,其中存在对XML外部实体引用('XXE')攻击的不正确限制的veracode查找。
代码:
Transformer transformer = TransformerFactory.newInstance().newTransformer();
StreamResult result = new StreamResult(new StringWriter());
DOMSource source = new DOMSource(node);
transformer.transform(source, result);
浏览 5提问于2019-03-06得票数 2
1回答
Veracode扫描通过后。我在我的jsp中报告了XSS漏洞的CWE ID 80的XSS问题:
<%@ attribute name="styleId"%>
...
document.getElementById("${styleId}").value=""; (XSS here)
我不明白问题出在哪里?我必须转义空字符串吗?或者styleId或者两者兼而有之?我必须使用EASPI.encodeForHTML吗??
浏览 2提问于2017-02-04得票数 0
长话短说,不管我怎么尝试,VeraCode都会继续将我的8行代码标记为CWE918的缺陷。这是旧代码,所以我不确定为什么它突然被标记了。 下面是一个带有粗体标记行的违规方法示例 public virtual async Task<HttpResponseMessage> Put(string controller = "", Dictionary<string, object> parameters = null, object body = null)
{
if (string.IsNullOrWhiteS
浏览 131提问于2019-09-13得票数 6
回答已采纳
我一直试图在春季应用程序中处理log4j2的安全性,以便在Veracode中传递。特别是CWE 117 -日志注入漏洞。我们有一个spring应用程序,其中包含spring start-log4j2。
我尝试配置log4j2模式:
<PatternLayout pattern="%d{DEFAULT} [%t] %-5level %logger{36} - %encode{%m}%n" />
但不起作用。我也尝试过这样的方法:
<PatternLayout pattern="%d{ISO8601} %-5p - %encode{ %.-500m }{
浏览 2提问于2020-01-23得票数 0
回答已采纳
我在Veracode平台上对我的代码进行了SAST扫描,我在Java邮件功能中发现了这个漏洞,我正在使用这个漏洞从我的应用程序发送邮件。以下是即将出现的漏洞-- CRLF序列(“CRLF注入”) (CWE ID 93)的不正确中和。
message.setSubject(subjectOfEmail);
我听说我们可以使用ESAPI库,但是我找不到合适的验证函数。请有人帮我重新调解这个问题,这样就不会再出现在扫描中了。
浏览 4提问于2019-07-01得票数 0
回答已采纳
2回答
URL重定向到不受信任的网站
、、、、
我在service.ts文件中有以下代码,VeraCode代码扫描失败 按CWE ID列出的缺陷:指向不受信任站点的URL重定向('Open Redirect') (CWE ID 601)(16个缺陷)描述web应用程序接受指定指向外部站点的链接的不受信任的输入,并使用该链接生成重定向。这将启用网络钓鱼攻击。 请帮我解决这个问题 Service.ts: public exportReviews(searchReviewData: SurveillanceReviewSearchViewModel): Observable<SurveillanceReviewSearch
浏览 108提问于2020-10-24得票数 0
回答已采纳
在我的veracode扫描中,我有非常低的漏洞:不正确的资源关闭或释放CWE ID 404 下面是我的代码: public static boolean nioCopy(File source, File destination) {
boolean retval = false;
FileChannel inChannel = null, outChannel = null;
try {
inChannel = (new FileInputStream(source)).getChannel();
浏览 50提问于2021-09-27得票数 0
回答已采纳
我想知道是否可以用编译或解释的语言进行代码注入?这个地区有什么攻击媒介吗?
我的意思是提供一个代码片段作为输入,它将与程序代码一起执行,类似于SQL注入。
浏览 0提问于2016-12-15得票数 1
回答已采纳
1回答
嗨,在我的项目中,Veracode报告了一个XSS问题CWE ID 80。在我的请求处理程序方法中:
@RequestMapping(value = "/Update.mvc")
public @ResponseBody String execute(@ModelAttribute UpdateForm updateForm, BindingResult result,
HttpServletRequest request, HttpServletResponse response) throws ActionException {
return exec
浏览 3提问于2017-01-30得票数 3
2回答
我在我的veracode报告中得到了下一个发现:不适当地限制XML外部实体引用('XXE') (CWE ID 611)引用下面的代码
..。
DocumentBuilderFactory dbf=null;
DocumentBuilder db = null;
try {
dbf=DocumentBuilderFactory.newInstance();
dbf.setFeature(XMLConstants.FEATURE_SECURE_PROCESSING, true);
浏览 0提问于2015-06-22得票数 7
回答已采纳
1回答
我们在Veracode中扫描应用程序时遇到了安全威胁问题。获得“系统或配置的外部控制设置(CWE 15)”。
using (var connection = new SqlConnection(connectionString))扫描报告
我们正在通过传递连接字符串来检查"SQLConnectionExists",
string sqlConnString = SqlHelper.GetSQLConnectionString(input.ServerName, dbName, isWinAuth, input.UserName, input.Password);
if (!DB
浏览 6提问于2020-09-07得票数 0
回答已采纳
我继承了一个遗留应用程序,下面给出了一段代码。
private static void printKeywordCheckboxes(JspWriter out, ArrayList words, int type)
throws IOException {
LogbookKeyword thisWord;
Iterator iterWord = words.iterator();
while (iterWord.hasNext()) {
thisWord = (LogbookKeyword) iterWord.next();
out.print
浏览 2提问于2014-04-02得票数 1
Veracode密码问题:CWE ID:311
Description:应用程序通过将其传递给未加密的函数来公开潜在的敏感数据。这可能允许错误地公开私有数据(如加密密钥或其他敏感信息)。
Recommendations:确保应用程序保护所有敏感数据不受不必要的暴露。
指向的错误: [NSFileManager defaultManager setAttributes:@{NSFileModificationDate: NSDate date} ofItemAtPath:path error:nil];
有什么建议,如何解决这个问题?
- (NSData*)loadContentsFromSec
浏览 9提问于2021-09-09得票数 0
回答已采纳
我在一个Micro services体系结构中使用Micro services,在这个体系结构中,Front End Angular app为我的API Gateway项目创建了一个HTTP request,这是一个简单的ASP.net Core 3.1 Web API项目。目前我只有两个micro services和一个API Gateway,它们都是ASP.net Core 3.1 Web API项目的类型。API Gateway项目拥有我的micro services的所有控制器。API Gateway的目的仅仅是接收来自Front end的请求,并将HTTP Request发送到适当的
浏览 6提问于2020-06-13得票数 3
回答已采纳
1回答
因此,我与Veracode进行了一些集成,我需要使用这个XML ()。
文档建议确实使用HTTPIe,并且在我的机器上工作得很好。但是,我们需要在管道环境中实现这一点,因为依赖于httpie(httpie没有提供输出和循环),所以我遇到了麻烦。
我目前正在尝试使用curl代替调用,因为httpie在我们的管道环境中不起作用,以供参考。我使用这个要点作为一个。HMAC身份验证工作良好,甚至可以与不需要参数(如)的API端点联系在一起,下面是我如何与getapplist.do通信的方法:
VERACODE_ID=myveraid
VERACODE_KEY=myverakey
#apt-get in
浏览 3提问于2020-08-14得票数 0
回答已采纳
我们的客户使用Veracode扫描工具来扫描ASP.NET应用程序。我们已经解决了许多缺陷,除了以下几点。
Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting')
(CWE ID 113)(1 flaw) in the line
HttpContext.Current.Response.AddHeader("Content-Disposition", contentDisposition);
下面是对应的代码:
public static v
浏览 0提问于2012-12-21得票数 4
1回答
我正在生成如下所示的动态prepareStatement (字段可能根据请求输入而改变)。Veracode扫描继续报告SQL注入风险on - CWE-89: SQL命令中使用的特殊元素的不正确中和(“SQL注入”)。
Select id from table where (USER_KEY=?) AND (TIMESTAMP between ? and ?) AND (APPLICATION_ID = ? OR APPLICATION_ID = ? )
AND (TITLE = ? ) order by "sortField" "sortDirection" l
浏览 0提问于2019-08-29得票数 0
回答已采纳
我的jenkinsfile包含两个阶段,构建和上传&扫描(用于静态扫描的veracode)。我的控制台输出可能包含这样的内容: build_id="21682834“指的是veracode扫描ID。
有人能帮忙找出这个数字并将其设置为环境变量吗?
浏览 5提问于2022-10-25得票数 1
回答已采纳
public static void sendEmail(String to, String cc, String subject, String content) throws IOException {
LOG.info(ESAPIValidation.sanitizeParam((String.format("EmailUtil.sendEMail() \n To: %s\n Subjet: %s \n Content: %s", to, subject, content))));
String host = ApplicationUtil.getPro
浏览 2提问于2020-07-27得票数 0
2回答
这是输出格式,基于"CVE_data_meta“,我需要去重复匹配的ID。
#pull references
for ref in item["cve"]["references"]["reference_data"]:
references = ref["url"]
cleanData.append({"CVE_data_meta": cve_data_meta_id,
"description": description,
浏览 3提问于2021-12-17得票数 0
回答已采纳
2回答
我是个初学者。 我需要在linux中编写一个自动化命令行(但尚未成功),它可以映射值sandbox_id=并将其输出,如下所示: <?xml version="1.0" encoding="UTF-8"?>
<sandboxinfo xmlns="https://analysiscenter.veracode.com/schema/4.0/sandboxinfo" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocati
浏览 55提问于2020-07-28得票数 2
回答已采纳
我正在对Java代码执行veracode扫描,它在我的一个DAO类中抛出了以下错误 SQL命令中使用的特殊元素的中和不正确('SQL注入‘) CWE ID 89 但是,我尝试使用OWASP.ESAPI库来缓解这一问题,因为我不能使用参数化输入来构造查询,因为我使用的是字符串构建器。以下是我正在尝试处理的示例代码 private static String getPhoneDataSql(QuerySearchType type, PhoneQueryParams queryParams){
StringBuilder sql = new StringBuilder
浏览 44提问于2020-01-22得票数 0
5回答
我的javaEE应用程序收到了veracode报告。它在任何日志记录(使用log4j)时都有一个缺陷,所以我将StringEscapeUtils.escapeJava(log)添加到所有日志中,但veracode一直将它们报告为安全缺陷。
这是一个正确的解决方案吗?我还能做什么?
这是报告info:标题:日志的输出中和不正确
说明:函数调用可能导致日志伪造攻击。将未经清理的用户提供的数据写入日志文件,使得攻击者能够伪造日志条目或将恶意内容注入日志文件。损坏的日志文件可用于掩盖攻击者的踪迹,或用作攻击日志查看或处理实用程序的传递机制。例如,如果web管理员使用基于浏览器的实用程序查看日志,则可能
浏览 1提问于2013-04-26得票数 14
4回答
我在veracode工具中运行了安全编译应用程序。每当工具发现任何日志记录时,它都被检测为代码中的一个缺陷。
缺陷是这样的
不正确的日志输出中性化()
描述
函数调用可能导致日志伪造攻击。将用户提供的未经消毒的数据写入日志文件,攻击者可以伪造日志条目或向日志文件中注入恶意内容。损坏的日志文件可用于掩盖攻击者的踪迹,或用作日志查看或处理实用程序上的攻击的传递机制。例如,如果web管理员使用基于浏览器的实用程序来检查日志,则可能发生跨站点脚本攻击。**。
在我的日志中,我确实打印了来自其他接口的xml,没有与应用程序相关联的GUI,所以我如何消除这个缺陷。
如果这不是提出这个问题的适当论坛,请告诉
浏览 4提问于2011-07-26得票数 3
我在PHP中对来自CWE的以下XML运行XPATH查询:
<Weaknesses>
<Weakness ID="211" Name="Test" Weakness_Abstraction="Base" Status="Incomplete">
<Description>
<Description_Summary>
The software performs an operation that triggers an external diagnostic or error messa
浏览 0提问于2013-07-16得票数 0
回答已采纳
1回答
我正在尝试从cppcheck的输出中解析XML数据。但是XML结构似乎是错误的。 cppcheck src --enable=warning,style,unusedFunction --xml --inconclusive --std=posix --std=c++11 2> error_s.xml cppcheck XML输出: <?xml version="1.0" encoding="UTF-8"?>
<results version="2">
<cppcheck version="1
浏览 41提问于2020-07-01得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
