什么是用于OS命令Veracode的CWE-78中和特殊元素的Windows中的特殊元素

时间:2013-03-08 20:34:11

标签: veracode

我的代码被Veracode静态分析标记为易受CWE-78攻击。

在我发现的漏洞中的所有白皮书中,他们都提到了特殊元素,但实际上并没有人说出特殊元素是什么。

在Windows平台上,我认识到&和&&是命令分隔符。将验证正在查找&的实例的正则表达式和&&足以满足静态分析?

1 个答案:

答案 0 :(得分:0)

所有测试的主要规则是应该进行白名单测试。

仅允许验证输入。

黑名单测试并不全面,只会检查已知的char