Veracode CWE 384期固定术

Question

我正在修复veracode静态扫描发现的缺陷，我发现了几个缺陷会话固定，如下所示：

• Request.getSession().set/set属性( )；

OWASP说，在注销和登录后，我应该使会话无效，但是这些行周围没有登录。我不明白为什么会在这行中检测到这个缺陷。你能帮我理解一下为什么会发生这种事吗？

Answer 1

OWASP说的是对的，您需要在注销时使会话无效，这是更多的通用注释。正如您正确地提到的，这些代码行周围没有日志记录，我看到您正在尝试让会话设置并从中检索值。

如果你能以更好的方式发布更多的代码来理解它，那就更好了。

您可以在veracode中将其标记为假阳性(或者提供fix为no，并为缓解提供适当的澄清)，以防止它对系统的影响不大。