如何解决这些错误:LDAP查询中使用的特殊元素的不正确中和(' LDAP注入')(CWE ID90)

时间:2018-03-09 15:20:38

标签: c# asp.net veracode

我使用.NET语言在c#中启用了Windows服务。在报告显示如下所示的错误之后,我将.exe文件提供给了veracode扫描。

仅供参考:我正在使用如下的LDAP查询:如何解决这些错误。它是一个Windows服务而不是Web应用程序。

string s1 ="xyz"
mySearcher.Filter = "(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=2)(sAMAccountName=" +s1+ "))";
SearchResult sresult = mySearcher.FindOne();

=> 输入验证不足(2个漏洞)

描述: 此类别中的弱点与缺少或不正确的保护机制无关,无法正确验证输入 这可能会影响程序的控制流或数据流。 建议: 在使用之前验证来自不受信任来源的输入。不受信任的数据源可能包括HTTP请求,文件系统, 数据库以及向应用程序提供数据的任何外部系统。在HTTP请求的情况下,验证的所有部分 请求,包括用于从中传输信息的标题,表单字段,Cookie和URL组件 浏览器到服务器端的应用程序。 在服务器端复制任何客户端检查。这应该在时间和难度方面很容易实现,并且会 大大降低了在应用程序中使用不安全参数值的可能性。

=> LDAP查询中使用的特殊元素的不正确中和(' LDAP注入')(CWE ID 90)(2个缺陷)

描述 允许,该软件不能充分清理LDAP查询或响应中使用的特殊元素 攻击者在执行LDAP修改之前修改其语法,内容或命令。 努力修复:3 - 复杂的实现错误。修复是约。 51-500行代码。最多5天修复。 建议 使用集中式数据验证例程验证所有不受信任的输入,以确保它符合预期的格式 如果可能。使用黑名单时,请确保清理例程执行足够数量的迭代 删除所有不允许的字符实例。

0 个答案:

没有答案