問題タブ [checkmarx]

ツール「CheckMarx」を使用してビルドした私のプロジェクトの脆弱性レポートを最近受け取りました。多くの結果には問題ありませんが、いくつかの単純な C# モデル クラスが脆弱であるとさえ指摘しています。

例えば：-

脆弱な動作の正確な原因がわかりません。

セキュリティの脆弱性が発生しています - 次の PHP コードの Checkmarx スキャンによるフロー制御 [重大度 - 低] の可能性があります。IF または isset() の使用でエラーが発生する

ありがとう ！！

私はgaeでJavaでアプリケーションを作成し、checkmarxに対して実行してセキュリティの脆弱性をチェックしましたが、見出しの下にエラーがスローされています-クライアントの潜在的なコードインジェクション。次の行にエラーが表示されます。

以下は私のコードからのスニペットであり、使用する前に電子メールをエスケープしているときにエラーがスローされる理由がわかりません。

渡された email 値を使用して loadAllData メソッドが行うことは次のとおりです。

誰でも助けることができますか？

セキュリティの脆弱性のためにcheckmarxツールに対してJavaアプリを実行しましたが、文字配列を使用するパスワードフィールドにヒープインスペクションという問題が常に発生しています。パスワードフィールドの宣言を指摘するだけで、それ以上の説明はありません。

誰かがここで私を助けてくれますか?これを解決するためにさらに何を探すことができますか?

mycodebase の AppScan は、Client Cross Frame Scripting Attack のミディアム エラーを表示します

これがコードスニペットです。

何か案は ？

以下に示すように、クライアントから文字列を受け取るエンドポイントがあります。

Checkmarx は、この要素の値が「適切にサニタイズまたは検証されずにコードを通過し、最終的にメソッド doSomething でユーザーに表示される」と訴えています。

それから私はこれを試しました：

しかし、依然としてこれを深刻度の高い脆弱性と見なしています。

Checkmarx スキャンに合格するために適切にサニタイズまたは検証するにはどうすればよいですか?

セキュリティの脆弱性について checkmarx を使用してコードをスキャンすると、変数名を指すプライバシー違反の問題が報告されました。

この変数を使用して、すべての認証関連の詳細を格納するこの名前 (「認証」) でキャッシュ内に領域を作成しています。

プライバシー違反の問題を修正するために、この変数名をあまり意味のない名前に変更することは正しいですか? これはどのようにセキュリティ上の脅威になりますか?

に基づいて Web プロジェクトで checkmarx を起動しましたが、次のStruts 1.3エラーが返されます。

メソッド execute at 行 xxx は...\action\AbstractAction.java、フォーム要素のユーザー入力を取得します。この要素の値は、適切にサニタイズまたは検証されずにコードを通過し、最終的に の 1 行目のメソッド %> でユーザーに表示されます../xx.jsp。これにより、クロスサイト スクリプティング攻撃が可能になる可能性があります。

Checkmarxを満たすために適切にサニタイズまたは検証するにはどうすればよいですか?