1

Fortify SCA でソースコードをスキャンしました

Fortify レポートを確認したところ、ASP.NET MVC の悪い慣行: Controller Action Not Restricted to POST (API Abuse, Structural)バグが発生しました

Fortify は、次のような高レベルのバグを発見しました

Recommendations:

The following controller action accepts only the POST verb because it has the
[HttpPost]     attribute:


[HttpPost]
public ActionResult UpdateWidget(Model model) 
{
// ... controller logic
}

しかし、私はそのコード行を見ました。

[HtttpPost]

属性。

偽陽性ですか?

4

1 に答える 1

1

SCA 自体を強化し、2 つの対照的なステートメントを示します。

ASP.NET MVC の悪い慣行: POST に限定されないコントローラー アクション (API の悪用、構造)

推奨事項:

The following controller action accepts only the POST verb because it has the
[HttpPost]     attribute:

UpdateWidget メソッドで Model を使用してモデルまたは DB を更新する場合は、より安全な HttpPost アクション属性を追加します。HttpPost アクション属性を追加したことが確実な場合は、Fortify バグを無視してください

于 2014-05-08T11:00:14.217 に答える