我正在修复veracode静态扫描发现的缺陷,我发现了几个缺陷会话固定,如下所示:
OWASP说,在注销和登录后,我应该使会话无效,但是这些行周围没有登录。我不明白为什么会在这行中检测到这个缺陷。你能帮我理解一下为什么会发生这种事吗?
发布于 2015-05-07 09:57:29
OWASP说的是对的,您需要在注销时使会话无效,这是更多的通用注释。正如您正确地提到的,这些代码行周围没有日志记录,我看到您正在尝试让会话设置并从中检索值。
如果你能以更好的方式发布更多的代码来理解它,那就更好了。
您可以在veracode中将其标记为假阳性(或者提供fix为no,并为缓解提供适当的澄清),以防止它对系统的影响不大。
https://stackoverflow.com/questions/30096448
复制相似问题