在veracode扫描期间,我的结果中出现CWE 73问题。有人可以建议我如何针对以下编码方案解决此解决方案吗?
提供的现有解决方案无法正常工作,我也想知道可以使用任何ESAPI属性来解决此问题吗?
尝试 { 字符串serviceFile = System.getProperty(“ PROP”,“”); logger.info(“ service A”,“正在加载服务文件[” + serviceFile +“]。”“); //此行中发生安全问题CWE 73 }
答案 0 :(得分:0)
有几种解决方法:
使用白名单进行验证,但使用来自入口点的输入为 我们在使用硬编码值列表中提到过。
使用简单的正则表达式白名单进行验证
规范输入并验证路径
我使用了第一种和第二种解决方案,并且工作正常。