Java中,在以下行中: TypedQuery<T> query=entityManger.createQuery(queryString, clazz);
List<T> result =query.getResultList(); 这就是说,需要对变量result进行适当的过滤或编码,否则可能会导致跨站点脚本攻击。
浏览 28提问于2020-08-11得票数 0
回答已采纳
2回答
在checkmarx扫描之后,我们得到了关于客户端潜在XSS的报告,并尝试修复它 我们已经尝试使用以下实用程序对内容进行编码,但都不起作用 https://github.com/cure53/DOMPurifyhttps://github.com/ESAPI/node-esapi/
https://www.npmjs.com/package/xss-filters 报告
浏览 271提问于2021-08-04得票数 0
回答已采纳
Checkmarx对代码进行了分析,并报告了以下问题:
方法Load_Bank在第**行为Where元素从数据库中获取数据。然后,该元素的值在代码中流动,而不经过适当的筛选或编码,并最终显示在方法Bank_Read中的SomeController.cs行*中的用户。这可能会启用存储的跨站点SiteScripting攻击。XSS问题,还是Checkmarx
浏览 2提问于2020-05-17得票数 1
回答已采纳
我使用Checkmarx服务进行了安全测试,并收到了安全问题:
MyFile.js第58行的方法函数为readFileSync元素从数据库中获取数据。该元素的值在没有经过正确过滤或编码的情况下在代码中流动,并最终在MyFile.js第58行的方法函数中显示给用户。这可能使存储的跨站点脚本攻击(XSS)成为可能。contents = fs.readFileSync(FilePathI
浏览 1提问于2018-09-02得票数 1
在对遗留的CheckMarx应用程序进行ASP.NET扫描之后,我们在存储的XSS中发现了一些漏洞,其中提到了SqlDataAdapter.Fill(DataSet object)和SqlCommand.ExecuteReader()方法中的问题。对上述两种方法的修正进行了研究,由于这两种方法都是非常常见的.Net方法,因此没有得到适当的解决方案。是否有人面临同样的问题,并
浏览 6提问于2021-12-13得票数 1
Checkmarx对我正在开发的Codebase进行了分析,它返回了一个包含“存储XSS”问题的报告。该问题指出:
方法GetHomepageFilterByLocale HomepageRepo.cs为Select从数据库中获取数据。然后,该元素的值在代码中流动,而不经过适当的筛选或编码,并最终在方法GetProductsByFilterType HomepageController.cs中显示给
浏览 2提问于2016-11-11得票数 4
BusinessLayer.GetCompaniesDetail();}
在运行checkmarx扫描时,对反映的XSS漏洞识别了上述方法。方法GetCompanyDetails在wxy/xyz/Controller/ABCController.cs的第1行获取请求元素的用户输入
浏览 17提问于2020-02-26得票数 1
我正在尝试修复checkmarx scan提供的安全问题。在类型中,“违反信任边界”。我尝试了多种解决方案,但似乎都不起作用。}
Checkmarx显示的问题:此元素的值会流经代码,而没有经过适当的杀毒或验证,并最终存储在服务器端
浏览 62提问于2019-10-31得票数 1
回答已采纳
1回答
下面是我得到的checkmarx报告的代码,指出它易受存储的XSS.it的攻击,表示数据层从数据库中获取数据,用于dt元素。然后,该元素的值在没有经过适当过滤或编码的情况下流经代码,并最终在aspx页面中显示给用户。txt_Name" runat="server" Text='<%#Eval("Uname") %&g
浏览 5提问于2017-04-24得票数 0
这是一个非常简单的情况。我们有一个数据库表,其中包含一个VARBINARY(MAX)字段,该字段包含一个文本文件。在.NET端,用户可以从数据库下载文本文件。它只是纯文本,来自可信的来源。然而,fortify/checkmarx抱怨存储的XSS。代码非常简单。[End]()
漏洞扫描指向Response.BinaryWrite()并抱怨存储的XSS,当然,考虑到它来自可信的来源,这是愚蠢<
浏览 6提问于2021-10-13得票数 0
1回答
如何满足静态代码分析工具(在本例中为checkmarx),以下方法没有问题:{ return cmd.ExecuteReader();Checkmarx告诉我如下:
方法ExecuteQuery从ExecuteReader元素获取数据库数据。然后,该元素的</em
浏览 9提问于2017-01-09得票数 3
CheckMarx将此组件标记为易受攻击。我不明白为什么。我不知道CheckMarx在多大程度上理解了代码,我也不知道我会如何安抚CheckMarx。错误是Client_DOM_XSS:应用程序的呈现将不受信任的数据以状态嵌入到生成的输出中,位于react的第25行-app\src\可视化器\Visualization.js。这些不受信任的数据直接嵌入到输出中,而不需要适当的清理或编码,从而使攻击者
浏览 35提问于2022-04-13得票数 2
1回答
Java项目中的信任边界冲突缺陷
、、、、
对于下面提到的代码,我在CheckMarx report中得到了信任边界违规。 ThreadContext.put("ID",
浏览 2提问于2018-08-01得票数 1
1回答
Checkmarx XSRF问题
、、、、
Checkmarx在我们的web应用程序中抱怨XSRF问题。我们使用的是框架4.0的ASP.NET web表单(而不是MVC)。Checkmarx说:方法btnSubmit_Click在\ABC.aspx.vb的第1760行从来自元素文本的用户请求URL获得一个参数。此参数值在代码中流动,并最终用于修改数据库内容。对如何防止XSRF从ASP.NET Webform应用程序中有什么想法吗?我们尝试了很
浏览 1提问于2019-03-06得票数 0
下面是checkmarx问题的详细信息无限制文件上传目标目标: getInputStream (第41号线) }}如何正确验证、筛选、
浏览 41提问于2020-10-01得票数 4
回答已采纳
3回答
我在CheckMarx安全扫描中遇到了这个问题:
方法exec在第69行( of web\src\main\java\abc\web\actions\HomeAction.java )获取CNF_KEY_COSN元素的用户输入。然后,该元素的值在代码中流动,而不经过适当的净化或验证,并最终在第905行( of web\src\main\java\gov\abc\external\info\ServiceHelper.java)的方法中显示给用户。<e
浏览 16提问于2020-05-07得票数 1
2回答
场景:页面上有一个具有用户名信息的持久XSS。用户名在页面中显示了三次,只能显示一次,可见的则正确转义。我的第一个想法是更改显示在有效负载中的文本。第二个想法是使用隐形字符:
如果不能在特定页面上执行有效负载,如何隐藏有效负载?
如何防止负载执行不止一次?
浏览 0提问于2013-08-01得票数 1
回答已采纳
1回答
存储xss安全威胁
、、、、
我们正在进行安全防范,在下面的代码中,buffer给出了存储的XSS,attack...below是我们从Checkmark工具获得的信息。方法test从数据库中获取buffer element的数据。然后,该元素的值在代码中流动,而不经过适当的筛选或编码,并最终在方法test中显示给用户。这可能会启用存储的跨站点脚本攻击。
浏览 4提问于2020-09-30得票数 0
2回答
有人能为JavaScript推荐安全的编码指南吗?
是否有一组与JavaScript编程语言密切相关的常见漏洞?我正在寻找的是与堆栈、堆或缓冲区溢出相当的漏洞,这些漏洞与c/c++编程语言密切相关。可以推荐JavaScript上下文中的静态代码分析工具吗?
浏览 0提问于2018-03-28得票数 3
我有带有maxlength=12的输入框,该输入框易受xss攻击。现在,我的问题是,可以从其他站点发出一个post请求,该请求绕过maxlength元素。在我的攻击尝试中,
浏览 0提问于2012-06-18得票数 4
回答已采纳
云服务器
ICP备案
对象存储
云点播
实时音视频
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号