标签: veracode
我的代码被Veracode静态分析标记为易受CWE-78攻击。
在我发现的漏洞中的所有白皮书中,他们都提到了特殊元素,但实际上并没有人说出特殊元素是什么。
在Windows平台上,我认识到&和&&是命令分隔符。将验证正在查找&的实例的正则表达式和&&足以满足静态分析?
答案 0 :(得分:0)
所有测试的主要规则是应该进行白名单测试。
仅允许验证输入。
黑名单测试并不全面,只会检查已知的char