CWE - 601, использован подход с белым списком, рекомендованный veracode, он все еще отмечает ошибку ⇐ JAVA

[Anonymous]

Заявленная ошибка: этот вызов javax.servlet.jsp.PageContext.forward() содержит перенаправление URL-адреса на ненадежный сайт. Запись ненадежных входных данных в значение URL-адреса может привести к тому, что веб-приложение перенаправит запрос на указанный URL-адрес, что приведет к попыткам фишинга украсть учетные данные пользователя.
У меня есть jsp, где есть пересылка функция перенаправления на другой jsp, veracode сообщил об ошибке в прямой строке, указав приведенный выше отчет. Я использовал подход белого списка для проверки jsp перед пересылкой, возвращая значение строки, если она соответствует белому списку, даже после этого это все еще указывает на недостаток.

Код: Выделить всё

String Jsp = "my.jsp"

String ValidatedJsp = getKnownSafeJsp(Jsp)

public static String getKnownSafeJsp(String url){

if(safeRedirectURLsList!=null && url!=null){

for(String s: safeRedirectURLsList){

if(url.equalsIgnoreCase(s)){

return s;

}}}

return null;

}

static List safeRedirectURLsList = (ArrayList)Arrays.asList(new String[]{

"my.jsp",});

//Forwarding using validatedJsp which will be the returned value from whitelist

Даже после использования этого подхода veracode по-прежнему отмечает ошибку в прямой строке, указывая cwe 601, где, как если бы мы использовали возвращаемое значение из белого списка, он должен помечать его как исправленный.>

Подробнее здесь: https://stackoverflow.com/questions/783 ... l-flagging