我正在從HttpServletRquest(在Java中)檢索查詢字串。
String QueryParameters = httpServletRequest.getQueryString();
Veracode認為這是個缺陷,
我試著驗證了一下。
我試著用推薦的OWASP ESAPI驗證器方法來驗證這個查詢字串,但是沒有一個方法是有效的,掃描仍然將其識別為一個缺陷。
示例 :
String QueryParameters = ESAPI.validator().getValidInput("Page",httpServletRequest.getQueryString(), "QueryStringRegEx",false);
QueryStringRegEx是正則運算式,QueryString將被驗證
。uj5u.com熱心網友回復:
我不知道這是一個100%的事實,但我認為Veracode(以及其他SAST引擎)只為ESAPI編碼器移除一個XSS污點標志,而不是為ESAPI驗證器。鑒于這里的范圍和背景有限,我無法判斷它是否安全。(這在很大程度上取決于你的詞組和是否可以與其他被檢查的污點用戶輸入相結合。
如果你覺得它是正確的,請與你的安全團隊討論,并且/或者將它作為一個假陽性來挑戰。
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/311792.html
標籤: