信任边界违规 - Veracode缺陷

时间:2013-08-26 21:35:36

标签: java security veracode

我在我正在测试的代码中遇到信任边界违规。代码在会话中添加表单,并且随着信任边界违规而变得有缺陷

Inside Struts Action class execute method
{
 EditForm editform = new EditForm ();
 All the values are set either from databse or from request params and then the form is   added to session as below

 **request.getSession(false).setAttribute("EDIT_FORM", editform );**
}

我违反了粗体显示的代码。

我该如何解决这个问题?我不确定在哪里添加验证。它是在Action类执行方法中创建的新表单,并且从请求和db

填充了vaues

1 个答案:

答案 0 :(得分:1)

您应该尝试使用esapy库,尝试类似:

  • ESAPI.getValidInput(...)

在设置属性之前。我发现这个缺陷与对象类型变量有关,这是有史以来最糟糕的事情,因为你无法验证它,因为你无法知道它的类型。

相关问题
最新问题