Войти

Запомнить

Регистрация

PullRequest

Лента
Топ
Теги
Новая

Новая

Jaydeep Bobade 16 апреля 2019 67

Неправильная нейтрализация последовательностей CRLF («инъекция CRLF») (CWE ID 93)

2 голосов

Jaydeep Bobade / 16 апреля 2019

В отчете Veracode я получаю сообщение об ошибке CWE 93 в некоторых файлах Java.В случае статического сканирования некоторый код имеет вид

MimeMessage msg = new MimeMessage(session); msg.setFrom(new InternetAddress(msmtpfrom));

2. msg.setRecipients(Message.RecipientType.TO, address);

Как решить?

Заранее спасибо

Java
Veracode
CRLF-уязвимость

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

0 голосов

sidnc86 / 16 апреля 2019

Просто замените вхождения CRLF в ваших строковых переменных, таких как msmtpfrom, address на пустую строку ("").Посмотрите на аналогичный вопрос, на который есть соответствующие ответы: Как исправить «Неправильная нейтрализация последовательностей CRLF в заголовках HTTP (« Разделение ответа HTTP »)»

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

Модуль Typescript для дезинфекции / защиты CRLF-инъекций
Как исправить неправильную нейтрализацию последовательностей CRLF в заголовках HTTP
проверит метод на объекте InternetAddress, удалит проблему внедрения CRLF
Проблема с инъекцией CRLF (с использованием куки)
Существует ли проверка в библиотеке ESAPI, которая может гарантировать, что уязвимость CWE-93 не обнаруживается при сканировании SAST veracode?
Уязвимость Sonarqube CRLF-символы в сообщениях журнала - Java
Исключение фильтрации для внедрения CRLF в журналах Java
Повышение привилегий - инъекция WildCard не работает
Xss атака в строке запроса
Java: уязвимость Sonarqube - символы CRLF в сообщениях журнала

...