运行静态扫描时收到一个Veracode错误:不正确地中和OS命令中使用的特殊元素(“OS命令注入”)(CWEID78)
应用程序调用带有我从前端接收到的参数的进程(应用程序在内部使用,这是一个userId)。
ProcessBuilder pb = new ProcessBuilder(PROCESS, "-A", argument);
Process p = pb.start(); // Veracode is mentioning this line
我怎样才能解决这个Veracode问题?是否有一种“安全”的方法来运行一个过程?
以下代码在out.write(outByte,0,iRead);行上给出了veracode缺陷“网页中与脚本相关的HTML标签的不正确中和”:
try {
bytesImage = helper.getBlob(Integer.parseInt(id) );
ByteArrayInputStream bin = new ByteArrayInputStream(bytesImage);
ServletOutputStream out = response.getOutputStream();
outByte = new byte[bytesImage.lengt