Veracode CWE 384 会话固定

【问题标题】:Veracode CWE 384 Session FixationVeracode CWE 384 会话固定
【发布时间】:2015-05-07 09:01:51
【问题描述】:

我正在修复通过 veracode 静态扫描发现的缺陷,并且我发现了几个像这样的会话修复缺陷:

  • request.getSession().get/set Attribute();

OWASP 说我应该在注销和登录后使会话无效,但是这些行周围没有登录。我不明白为什么在这行中检测到这个缺陷。您能否帮助我了解为什么会发生这种情况以及如何解决?

【问题讨论】:

  • 我不确定你能否解决这些问题。如果您在不要求用户登录的环境中使用 httpSession,那么来自代码扫描的警告将毫无意义。

标签: java session getattribute veracode session-fixation


【解决方案1】:

OWASP 说的是对的,您需要在注销时使会话无效,这更像是一般性的评论。正如您正确提到的,这些代码行周围没有日志记录,我看到您正试图让会话设置并从中检索值。

如果您发布更多代码以更好地理解它会很好。

您可以在 veracode 中将其标记为误报(或将修复提供为未修复并提供适当的缓解说明),以防您确定它是否不会对系统造成太大影响。

【讨论】:

  • 我已将它们标记为误报,它们已被批准,非常感谢。
猜你喜欢
  • 1970-01-01
  • 2021-11-06
  • 2021-11-04
  • 1970-01-01
  • 1970-01-01
  • 2018-07-06
  • 2020-01-14
  • 2011-02-22
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode