Veracode sigue reportando un problema de inyección de comandos del sistema operativo después de haber aplicado la solución como recomendaciones de OWAPS y Roslyn Security Guard [cerrado]

1

El código actual en mi proyecto se muestra a continuación y Veracode informa que hay una inyección de comando del sistema operativo

filename = Regex.Replace(filename, "[^a-zA-Z0-9_]", "_") & ".svg"

ProcessStartInfo startInfo = default(ProcessStartInfo);
Process pStart = new Process();
startInfo = new ProcessStartInfo(myExecutedFilePath, "\"" + filename + "\" --export-pdf=\"" + filename + "\""); //OS command injection raises at this line
pStart.StartInfo = startInfo;
pStart.Start();
pStart.WaitForExit();

Por lo tanto, investigo la solución para resolver este problema de OWASP y Roslyn Security Guard.

  • publicación de OWASP: enlace )
  • Publicación del guardia de seguridad de Roslyn: enlace

Y aquí está mi código después de modificarlo en función de las publicaciones.

filename = Regex.Replace(filename, "[^a-zA-Z0-9_]", "_") & ".svg"

ProcessStartInfo startInfo = default(ProcessStartInfo);
Process pStart = new Process();
startInfo = new ProcessStartInfo();
startInfo.FileName = myExecutedFilePath;
startInfo.Arguments = "\"" + filename + "\" --export-pdf=\"" + filename + "\""; //Veracode still reports the issue at this line
pStart.StartInfo = startInfo;
pStart.Start();
pStart.WaitForExit();

PERO, Veracode aún informa la inyección de comandos del sistema operativo.

Así que mis preocupaciones aquí son:

  1. ¿He aplicado la solución correcta para resolver la inyección de comandos del sistema operativo en este caso?

  2. O, ¿Debo proponer mitigación para ello?

pregunta RDeveloper 24.07.2018 - 10:22
fuente

0 respuestas

Lea otras preguntas en las etiquetas