我正在修复Veracode静态扫描发现的缺陷,我发现了几个缺点会话固定:
- request.getSession()。get/set attribute();
Owasp说,我应该在注销和登录后会话无效,但是这些行周围没有登录。我不明白为什么在这方面被检测到了这个缺陷。您能帮我了解为什么会发生这种情况以及如何解决吗?
OWASP所说的是正确的,您需要在注销时会话无效,这是更通用的评论。正如您正确提到的那样,这些代码行周围没有登录,我看到您正在尝试将会话设置和检索其值。
如果您发布更多代码以更好地理解它。
您可以将其标记为VeraCode中的假阳性(或提供修复程序,并为缓解提供适当的澄清),以防您确定是否不会对系统产生太大影响。