我正在修复veracode静态扫描发现的缺陷,我发现了几个这样的漏洞会话固定:
OWASP表示我应该在注销和登录后使会话无效,但是这些行没有登录。我不明白为什么在这一行中发现了这个缺陷。你能帮助我理解为什么会这样,以及如何解决它?
答案 0 :(得分:1)
OWASP说的是对的,你需要在注销时使会话无效,这更像是一般性评论。正如您正确提到的那样,没有记录这些代码行,我看到您正在尝试让会话设置并从中检索值。
如果您发布更多代码以更好地理解它,那将会很好。
您可以在veracode中将其标记为误报(或提供修复作为无修复并为缓解提供适当的说明),以防您确定它是否对系统造成太大影响。