我们在Azure DevOps管道中集成了Checkmarx静态代码分析工具。在运行我们的管道时,我们得到了“不受信任数据的反序列化”错误,在下面的代码行中有很高的风险。你能帮我解决这个问题吗?
浏览 34提问于2022-02-02得票数 3
我已经集成了Checkmarx扫描工具与Azure DevOps管道。在运行ASP.Net Core相关管道后,我将获得高风险的结果。我尝试过多种方法并运行管道。现在仍然没有运气。authResponse.AuthenticationToken;TokenResponse.cs:{}在第42行的文件中异步处理的序列化对象Pos
浏览 4提问于2022-02-15得票数 0
回答已采纳
1回答
在接受JMS消息的onMessage()方法中,我在checkmarx扫描期间得到了不可信数据的反序列化(它在代码中发现了与安全相关的漏洞): }}
浏览 29提问于2019-11-28得票数 0
CheckMarx将此组件标记为易受攻击。我不明白为什么。我不知道CheckMarx在多大程度上理解了代码,我也不知道我会如何安抚CheckMarx。错误是Client_DOM_XSS:应用程序的呈现将不受信任的数据以状态嵌入到生成的输出中,位于react的第25行-app\src\可视化器\Visualization.js。这些不受信任的<em
浏览 35提问于2022-04-13得票数 2
我有一些代码可以从源Checkmarx中检索不受信任的数字数据(在我控制下的文件),在访问两者之间的“不安全”缓冲区之前,我将这些数据转换为一对整数,并使用类似的函数对它们进行范围检查。lowerBound ; index<upperBound ; index++)}
问题是,它仍然令Checkmarx实际上,在我
浏览 3提问于2021-04-09得票数 0
DOMPurify.sanitize($($.parseHTML(decodeURIComponent(encodeURIComponent($而checkmarx扫描会在上面的行抛出下面的错误
应用程序将不受信任的数据嵌入到生成的输出中,$位于com.js的上面一行。这些不受信任的数据直接嵌入
浏览 13提问于2022-11-22得票数 0
回答已采纳
1回答
我在我的Java应用程序中使用了一个bean来发送邮件。我的用于发送邮件的类是通过xDoclet生成的。mapMsg.getString("subject"); }S
浏览 1提问于2019-09-04得票数 1
我正在尝试解决checkmarx问题,即应用程序在生成的output.This中嵌入不受信任的数据,不受信任的数据在没有适当的杀毒或编码的情况下直接嵌入到输出中,使攻击者能够将恶意代码注入到output.So因此checkmarx错误出现在此行上 const search = new URLSearchParams(window.location
浏览 48提问于2021-06-25得票数 0
回答已采纳
我试图修复Checkmarx扫描工具报告的问题,我试图消毒的错误以及req在下面的路由模块。然而,它仍然抱怨同样的错误。错误:
Reflected_XSS误差它指的是上面模块中的行req.logger.error。应用程序的router.use将不受信任的数据嵌入到生成的输出中,并在\routes\index.js的第x行出现<
浏览 3提问于2021-09-16得票数 2
回答已采纳
当将字符串分配给asp.net会话变量时,在c#中解决信任绑定冲突的好方法是什么。我试过HttpUtility.HtmlEncode和AntiXssEncoder.HtmlEncode都没有运气。有什么特殊的需要使用会话变量来净化/验证吗?
浏览 7提问于2022-09-12得票数 0
我在快递中间件中使用axios来获取API的响应{
.get(someurl)**res.send(response.data);**//contains array object which would be send as a JSON response by send()Checkmarx扫描将此报告为不受信任的数据,并可能反映XS
浏览 1提问于2021-09-07得票数 2
1回答
我用CheckMarx做了一个扫描,他们发现了几个发现信任边界冲突的错误,我尝试了几种技术,但我不能解决这个问题:(你能帮我解决它吗?所有我的$_SESSION都会显示该错误 我的处理页面: public static function LoginVerification($email, $password){ } }
浏览 14提问于2019-06-12得票数 1
1回答
在我工作的地方,他们使用名为checkmarx的应用程序来分析应用程序的安全性。在其中一个分析中,应用程序检测到以下问题:
应用程序的GetBarcosNaoVinculados将不受信任的数据嵌入到Json生成的输出中,位于.这些不受信任的数据直接嵌入到输出中,而不需要适当的清理或编码,从而使攻击者能够
浏览 1提问于2020-10-20得票数 0
回答已采纳
3回答
不可信反序列化策略
、、、
我有一个非常复杂的对象web,我希望在不受信任的环境中序列化和反序列化(web浏览器,使用Unity3D)。普通的BinaryFormatter序列化工作正常,但反序列化崩溃时出现了“访问私有字段”错误。当我在本地跑步时,它工作得很好。
我不想把我所有的私人领域都公之于众,从而使我的代码库变得糟糕。在不进行此操作的情况下,在不受信任的</
浏览 3提问于2010-12-06得票数 5
1回答
如果JSON对象/字符串中注入了不受信任的数据(例如插入了附加密钥),那么GSON是否执行安全的序列化来分隔和转义不受信任的数据?T object = gson.<T>fromJson(sampleString, modelObject);
我并不知道
浏览 2提问于2016-06-08得票数 0
回答已采纳
1回答
我从Checkmarx那里得到了这个错误
应用程序通过将不受信任的字符串嵌入到查询中而不进行适当的清理来构造此SQL查询。连接字符串被提交到数据库,并在数据库中进行相应的分析和执行。
浏览 7提问于2022-07-19得票数 0
1回答
一切都很好,但是为什么Checkmarx的想法不同呢?应用程序的<?php方法在编辑后的第1行使用不受信任的字符串和要执行的命令调用带有system的OS (shell)命令。
我还想知道Checkmarx是否
浏览 9提问于2020-11-24得票数 0
1回答
我有一个spring引导服务(2.4.5),它显示了checkmarx错误,我们需要清理请求有效负载。我们如何净化请求的有效载荷?我收到了"@RequestBody最终MyInput输入“的下列checkmarx错误消息:
应用程序的executeNewReport方法在src\main\java\com\gayathri\controllers\JobController.java.的第82行执行带有输入的SQL查询应用
浏览 2提问于2021-05-13得票数 0
回答已采纳
反序列化不受信任的数据是安全的,前提是我的代码不假设反序列化对象的状态或类,或者仅仅是反序列化行为会导致不想要的操作吗?
(威胁模型:攻击者可以自由修改序列化数据,但这是他所能做的一切)
浏览 2提问于2013-09-27得票数 12
回答已采纳
据我所知,IsolatedProcess在这里运行不受信任的代码。但是,如果IsolatedProcess基本上是一个没有任何权限的进程,那么如何将不受信任的代码(例如类)发送到IsolatedProcess?我的意思是,IsolatedProcess无法访问设备中的文件、互联网或其他任何东西。
那么,向IsolatedProcess发送不可信代码的方法是什么呢?我试图将构造函数传递给IsolatedProcess,
浏览 2提问于2016-05-03得票数 4
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
