<rt id="bn8ez"></rt>
<label id="bn8ez"></label>

  • <span id="bn8ez"></span>

    <label id="bn8ez"><meter id="bn8ez"></meter></label>

    如何消除VeraCode檢測中的CRLF Injection Issue(CWE ID 117)

    Veracode是一個檢測應用程序是否存在安全漏洞的工具,更多細節請訪問http://www.veracode.com

    這里主要總結一下如何消除Veracode檢測結果中的CRLF(Carriage Return, Line Feed) Injection Issue(CWE ID 117)。

    首先,先看看VeraCode對CRLF Injection Issue的定義:
    The acronym CRLF stands for "Carriage Return, Line Feed" and refers to the sequence of characters used to denote the end of a line of text.  CRLF injection vulnerabilities occur when data enters an application from an untrusted source and is not properly validated before being used.  For example, if an attacker is able to inject a CRLF into a log file, he could append falsified log entries, thereby misleading administrators or cover traces of the attack.  If an attacker is able to inject CRLFs into an HTTP response header, he can use this ability to carry out other attacks such as cache poisoning.  CRLF vulnerabilities primarily affect data integrity.

    再看卡VeraCode對如何解決這個問題的建議:
    Apply robust input filtering for all user-supplied data, using centralized data validation routines when possible.  Use output filters to sanitize all output derived from user-supplied input, replacing non-alphanumeric characters with their HTML entity equivalents.

    舉例:
    log.debug("xxxxxxxxxxxxxx");
    //這里的xxxxx部分內容可能是從環境變量或者外部獲取的,所以Veracode認為存在CRLF的安全隱患。

    通過對現有系統的實踐證明,對于這類CRLF Injection Issue,消除時主要遵循以下原則:

    1)使用Character.isISOControl去除變量中的ctrl類控制符
    2) 驗證后返回新的字符串變量

      
    public static final String removeControlCharacter(String input)
        {
            
    if (input == null)
            {
                
    return "";
            }
            StringBuilder sb 
    = new StringBuilder();
            
    for (int i=0; i<input.codePointCount(0, input.length()); i++)
            {
                
    int codePoint = input.codePointAt(i);
                
    if(!Character.isISOControl(codePoint))
                {
                    sb.appendCodePoint(codePoint);
                }
            }
            
    return sb.toString();
        }
        
    修改后如下所示:
    log.debug(FileUtil.removeControlCharacter("xxxxxxxxxxxxxx"));

    posted on 2011-09-06 10:49 想飛就飛 閱讀(2194) 評論(0)  編輯  收藏


    只有注冊用戶登錄后才能發表評論。


    網站導航:
     

    公告


    導航

    <2011年9月>
    28293031123
    45678910
    11121314151617
    18192021222324
    2526272829301
    2345678

    統計

    常用鏈接

    留言簿(13)

    我參與的團隊

    隨筆分類(69)

    隨筆檔案(68)

    最新隨筆

    搜索

    積分與排名

    最新評論

    閱讀排行榜

    評論排行榜

    主站蜘蛛池模板: 国产一级a毛一级a看免费人娇| 亚洲AV无码久久久久网站蜜桃| 亚洲欧洲无码AV不卡在线| 亚洲视频在线播放| 亚洲欧洲日韩国产一区二区三区 | 日韩免费一区二区三区在线播放| 毛片免费全部免费观看| 中文字幕亚洲无线码| 亚洲一级毛片免费在线观看| 亚洲精品在线免费观看| 亚洲精品国产手机| 免费看黄的成人APP| 日本成人免费在线| 国产成人精品日本亚洲语音 | 中文字幕无码免费久久99| 亚洲黄色激情视频| 免费观看美女裸体网站| 久久亚洲精品无码网站| 亚洲国产高清在线一区二区三区 | 亚洲午夜福利AV一区二区无码| 亚洲人成伊人成综合网久久| 最新黄色免费网站| 国产成人精品日本亚洲网址| 在线免费观看中文字幕| 特黄aa级毛片免费视频播放| 精品亚洲成α人无码成α在线观看 | 日日麻批免费40分钟日本的| 午夜在线a亚洲v天堂网2019| 国产男女猛烈无遮挡免费视频 | 久久久无码精品亚洲日韩蜜臀浪潮| 成人国产网站v片免费观看| 妞干网免费视频在线观看| 亚洲日本一线产区和二线产区对比| 日本黄色免费观看| 成在线人免费无码高潮喷水| 亚洲精品无码不卡| 日韩精品免费一区二区三区| A级毛片成人网站免费看| 亚洲综合区图片小说区| 国产精品久久香蕉免费播放| baoyu777永久免费视频 |