Veracode CWE 384 会话修复
Veracode CWE 384 Session Fixation
我正在修复由 veracode 静态扫描发现的缺陷,我发现了几个缺陷会话修复,如下所示:
- request.getSession().get/set 属性( );
OWASP 说我应该在注销和登录后使会话无效,但这些行周围没有登录。我不明白为什么会在这一行中检测到这个缺陷。你能帮我理解为什么会发生这种情况以及如何解决它吗?
OWASP 说的对,你需要在注销时使会话无效,这是更笼统的评论。正如您正确提到的那样,这些代码行没有日志记录,我看到您正在尝试让会话设置并从中检索值。
如果您 post 更多代码以更好地理解它,那就太好了。
如果您确定它不会对系统造成太大影响,您可以在 veracode 中将其标记为误报(或提供修复为无修复并提供适当的缓解说明)。
我正在修复由 veracode 静态扫描发现的缺陷,我发现了几个缺陷会话修复,如下所示:
- request.getSession().get/set 属性( );
OWASP 说我应该在注销和登录后使会话无效,但这些行周围没有登录。我不明白为什么会在这一行中检测到这个缺陷。你能帮我理解为什么会发生这种情况以及如何解决它吗?
OWASP 说的对,你需要在注销时使会话无效,这是更笼统的评论。正如您正确提到的那样,这些代码行没有日志记录,我看到您正在尝试让会话设置并从中检索值。
如果您 post 更多代码以更好地理解它,那就太好了。
如果您确定它不会对系统造成太大影响,您可以在 veracode 中将其标记为误报(或提供修复为无修复并提供适当的缓解说明)。