org/slf4j/Logger.info(Ljava/lang/String;Ljava/lang/Object;)V 的使用可能用於將 CRLF 字符包含到日志消息中
[英]This use of org/slf4j/Logger.info(Ljava/lang/String;Ljava/lang/Object;)V might be used to include CRLF characters into log messages
我在代碼中記錄請求正文參數時遇到此聲納問題(安全性 - 日志的潛在 CRLF 注入)。 如何解決這個問題? 謝謝你。 ...
嘗試修復源代碼漏洞(CWE:113); 類別:輸入驗證和表示 - 標頭操作:Cookie
[英]Trying to fix source code vulnerability (CWE: 113); Category: Input Validation and Representation - Header Manipulation: Cookies
我正在嘗試修復我的 React 前端應用程序代碼中的漏洞(CWE:113,此處有詳細信息)。 也很難從工具的漏洞掃描消息中找到它(在 *.js 文件的第 1 行說): 我從漏洞詳細信息中了解到必須處理 cookie 的設置,但我在我的代碼中將 cookie 設置為(使用 encodeURIComp ...
Spring Boot:CRLF - 在 REST API 中安全地記錄有效負載
[英]Spring Boot: CRLF - Securely log payload in REST API
我有一個公開 REST API 的 Spring Boot 應用程序。 我需要記錄有效負載,以便能夠在 API 調用中的 JSON 中找到錯誤。 我運行了一個代碼分析工具,在記錄有效負載時報告了以下安全風險。https://find-sec-bugs.github.io/bugs.htm#CRLF_ ...
Java 來自外部 jar 文件的漏洞問題
[英]Java Vulnerability issues from external jar files
我需要使用一些掃描工具修復在我的項目中發現的漏洞。 我遇到的問題是,漏洞在外部/第三方jar文件中,並且已經是高版本了。 那么,是否有任何方法可以解決這些問題並通過掃描工具進行修復? ...
如何允許換行符但仍然防止 CRLF 攻擊?
[英]How to allow newline characters but still prevent CRLF attack?
我在我的服務器上運行了安全掃描並收到了一些 CRLF 漏洞利用警告。 因此,按照建議,我已經清理了所有查詢參數輸入,如下所示。 比方說,一個真正的用戶通過“地址”查詢參數向我發送地址。 例子 - 由於將從上面的字符串中刪除“%0A”,地址現在將變為“24HouseRoadSomePlaceCoun ...
Nessus 能否用於掃描網絡、應用程序和操作系統漏洞?
[英]Can Nessus be used to scan network, application, and operating system vulnerabilities?
我正在查看可以作為一個整體用於掃描漏洞的工具列表。 我遇到了一個名為 Nessus 的工具,我的問題是我們是否可以使用它來掃描和查找網絡、操作系統和基於 Web/桌面的應用程序中的漏洞? ...
本地到雲漏洞掃描
[英]On-prem to cloud vulnerability scanning
我們在本地網絡的共享子網中有漏洞掃描軟件。 我們現在正在添加托管在公共雲上的 VM,並且需要對它們執行漏洞掃描。 一種選擇是打開從本地到公共雲的單向流量,以便掃描程序可以訪問所有虛擬機。 所以所有端口都將對虛擬機開放(在一個方向上)。 這是可取的嗎? 在子網中運行 vul 掃描軟件,這樣在本地和雲之 ...
獲取路徑解析 Prisma Cloud 的 node.js 的圖像漏洞錯誤
[英]Getting an Image Vulnerability error for node.js for path-parse Prisma Cloud
在 docker 圖像掃描后期構建中獲取路徑解析的 node.js 圖像漏洞錯誤。 節點版本:12.16.1 圖片:alpine3:3.10.2 漏洞圖像掃描錯誤固定狀態固定在:1.0.7 package 路徑解析的所有版本都容易通過 splitDeviceRe、splitTailRe 和 spl ...
什么是 CRLF 和 LF? Git 中的用例是什么?
[英]What is CRLF and LF? What's the use case in Git?
我是新探索 git 命令,突然發現 LF 和 CRLF。 運行命令 git 添加終端顯示如下: LF 將在 app.js 中被 CRLF 替換。 該文件將在您的工作目錄中具有其原始行結尾 - 它是關於什么的? ...
輸入驗證和表示 - Header 操作:Cookies- C# Cookies - ZBF50D2E5611E6DFEBE77
[英]Input Validation and Representation - Header Manipulation: Cookies- C# Cookies - Header
Fortify 報告了以下問題輸入驗證和表示 - Header 操作:Cookies 我試圖通過添加更多細節來解決問題,例如 cookies 到期等。仍然沒有任何效果。任何幫助將不勝感激。謝謝! ...
尋找執行網站安全審計的工具
[英]Looking for a tool to perform website security audit
我正在為客戶建立一個網站。 他要我對網站進行安全審計。 我沒有安全審計方面的專業知識,預算也很低。 但是,我正在努力為我的客戶提供最大的價值。 有沒有什么工具可以低成本地對網站進行安全審計? ...
spring java 應用程序的拒絕服務 ReadLine 漏洞
[英]Denial of Service ReadLine vulnerability for spring java application
在我的 spring java 應用程序中,掃描工具顯示拒絕服務漏洞:ReadLine for ModelAttribute ("someFormBean") 這是什么意思? 如何解決這個問題? ...
在 Veracode 中使用 slf4j LOGGER 時的 CRLF 注入漏洞(CWE 117)
[英]CRLF Injection vulnerability while using slf4j LOGGER in Veracode (CWE 117)
這是一個 slf4j 記錄器,我一直在嘗試用 2 個消息參數記錄錯誤。 SSG_TIMEOUT.getErrorText()結果為字符串"TimeOut error encountered" SSG_TIMEOUT.getErrorText() "TimeOut error encounter ...
Sonatype 掃描顯示依賴性超過 10 年
[英]Sonatype scan shows Dependency-older-than-10-years
我是 nexus IQ 問題的新手。 當 Sonatype 的 Nexus IQ 掃描以下組件時,我收到了“Dependency-older-than-10-years”約束。 組件名稱: 螞蟻:螞蟻:2.7.7 javax.xml:jaxp-api:1.4.2 org.codehaus ...
如何更改此代碼以使其容易受到 CRLF 注入的影響?
[英]How can i change this code to be vulnerable of CRLF injection?
我創建了一個簡單的spring web項目,項目中只有一個Controller,其代碼為: package com.example.sbtest.controller; import javax.servlet.http.HttpServletResponse; import org.spring ...
如何將 HTTP 頭添加到 Jenkins
[英]How to add HTTP Headers to Jenkins
我將最新的 jenkins 作為獨立設備運行,如下所示。 我們使用自簽名的 SSL 證書。 當我們訪問 Jenkins 控制台並觀察 HTTP 響應標頭時,我們會看到關鍵的 HTTP 標頭丟失,例如X-XSS-Protection We do not use or plan to use any ...
Jenkins 中 HTTP 404 頁面的自定義頁面 URL
[英]Custom page for HTTP 404 page URL in Jenkins
我的 Jenkins 正在 https://myhost:9043 上運行,使用 Linux 上的獨立戰爭和以下命令。 但是,當我嘗試以下 URL 說https://myhost:9043/<any random text>時,顯然找不到資源 uri。 但是,問題是我在瀏覽器中得到 o ...
如何找到在我的項目中使用庫的位置來修復 Veracode 安全漏洞
[英]How to find where a library is being used in my project to fix a Veracode security vulnerability
目前我的應用程序由於一個第三方組件而未能通過 Veracode 掃描:“netty-handler.4.1.48.FINAL.jar”,目前沒有可用的安全版本。 我已經查看了 Veracode 報告,但我找不到有關該組件在何處使用的任何具體信息。 我還瀏覽了項目中的所有文件,但找不到“netty-h ...
在創建新的 reactjs 應用程序期間,在 1620 個掃描包中發現 1 個低嚴重性漏洞
[英]Found 1 low severity vulnerability in 1620 scanned packages during cretating new reactjs app
我在創建新的 Reactjs 應用程序時遇到錯誤,此錯誤消息顯示在命令行上 => 在 1620 個掃描包中發現 1 個低嚴重性漏洞 ...
crlf 預期在塊 httpclient 結束時
[英]crlf expected at end of chunk httpclient
我正在嘗試從我的服務器獲取數據。 我正在使用 HttpClient 來獲取我的數據。 但有時未獲取數據,並且我在塊的末尾顯示了名為 crlf 的錯誤。我嘗試在此鏈接后更改 jmeter 屬性中的緩沖區大小,但問題未解決。 我在下面給出我的代碼。找不到解決方案。 需要幫忙。 Favourite ...