<rt id="bn8ez"></rt>
<label id="bn8ez"></label>

  • <span id="bn8ez"></span>

    <label id="bn8ez"><meter id="bn8ez"></meter></label>

    如何消除VeraCode檢測中的CRLF Injection Issue(CWE ID 117)

    Veracode是一個檢測應用程序是否存在安全漏洞的工具,更多細節請訪問http://www.veracode.com

    這里主要總結一下如何消除Veracode檢測結果中的CRLF(Carriage Return, Line Feed) Injection Issue(CWE ID 117)。

    首先,先看看VeraCode對CRLF Injection Issue的定義:
    The acronym CRLF stands for "Carriage Return, Line Feed" and refers to the sequence of characters used to denote the end of a line of text.  CRLF injection vulnerabilities occur when data enters an application from an untrusted source and is not properly validated before being used.  For example, if an attacker is able to inject a CRLF into a log file, he could append falsified log entries, thereby misleading administrators or cover traces of the attack.  If an attacker is able to inject CRLFs into an HTTP response header, he can use this ability to carry out other attacks such as cache poisoning.  CRLF vulnerabilities primarily affect data integrity.

    再看卡VeraCode對如何解決這個問題的建議:
    Apply robust input filtering for all user-supplied data, using centralized data validation routines when possible.  Use output filters to sanitize all output derived from user-supplied input, replacing non-alphanumeric characters with their HTML entity equivalents.

    舉例:
    log.debug("xxxxxxxxxxxxxx");
    //這里的xxxxx部分內容可能是從環境變量或者外部獲取的,所以Veracode認為存在CRLF的安全隱患。

    通過對現有系統的實踐證明,對于這類CRLF Injection Issue,消除時主要遵循以下原則:

    1)使用Character.isISOControl去除變量中的ctrl類控制符
    2) 驗證后返回新的字符串變量

      
    public static final String removeControlCharacter(String input)
        {
            
    if (input == null)
            {
                
    return "";
            }
            StringBuilder sb 
    = new StringBuilder();
            
    for (int i=0; i<input.codePointCount(0, input.length()); i++)
            {
                
    int codePoint = input.codePointAt(i);
                
    if(!Character.isISOControl(codePoint))
                {
                    sb.appendCodePoint(codePoint);
                }
            }
            
    return sb.toString();
        }
        
    修改后如下所示:
    log.debug(FileUtil.removeControlCharacter("xxxxxxxxxxxxxx"));

    posted on 2011-09-06 10:49 想飛就飛 閱讀(2194) 評論(0)  編輯  收藏


    只有注冊用戶登錄后才能發表評論。


    網站導航:
     

    公告


    導航

    <2011年9月>
    28293031123
    45678910
    11121314151617
    18192021222324
    2526272829301
    2345678

    統計

    常用鏈接

    留言簿(13)

    我參與的團隊

    隨筆分類(69)

    隨筆檔案(68)

    最新隨筆

    搜索

    積分與排名

    最新評論

    閱讀排行榜

    評論排行榜

    主站蜘蛛池模板: 日本黄色动图免费在线观看| 亚洲一区二区无码偷拍| 两个人的视频www免费| 亚洲一区视频在线播放| 一本到卡二卡三卡免费高| 亚洲国产婷婷香蕉久久久久久| 免费国产a理论片| 可以免费观看一级毛片黄a| 黄网站色视频免费看无下截 | 国产精品亚洲一区二区三区在线| 一级特级女人18毛片免费视频| 亚洲国产成人久久综合碰| 草久免费在线观看网站| 亚洲伊人色欲综合网| 午夜视频免费在线观看| 亚洲成a人片在线网站| 国产精品成人免费一区二区| 亚洲aⅴ无码专区在线观看春色| 国产乱色精品成人免费视频| 四虎影视久久久免费| 亚洲精品无码mv在线观看网站| 久久福利青草精品资源站免费| 亚洲国产成人私人影院| 人成午夜免费视频在线观看| 亚洲欧美黑人猛交群| 亚洲一区二区视频在线观看| 小草在线看片免费人成视久网| 亚洲乱码中文字幕小综合| 国产成人青青热久免费精品| 久青草视频在线观看免费| 精品亚洲A∨无码一区二区三区| 无码国产精品久久一区免费| 高潮内射免费看片| 亚洲天天做日日做天天看 | 18观看免费永久视频| 亚洲av日韩综合一区久热| 亚洲人成网站色在线入口| 一级毛片aaaaaa免费看| 亚洲国产精品无码中文lv| 伊人久久大香线蕉亚洲五月天| 久久99国产乱子伦精品免费|