問題タブ [checkmarx]

JS でのクライアント DOM コード インジェクションの問題を修正するにはどうすればよいですか? 誰でも私を助けることができますか？

問題は以下です。

赤いボックスは、問題がどこにあるかを示しています。しかし、どうすれば解決できるかわかりません。

IBM Integration Bus を使用して大規模なアプリケーションを作成しており、ESQL を主要な変換言語として使用しています。静的コード分析とスキャナー用に CheckMarx を調査しています。しかし、CheckMarx はそのままでは ESQL をサポートしていません。

CheckMarx 用のカスタム プラグインを作成して、ESQL コードをスキャンおよび分析できるようにすることは可能ですか? 同じオンラインリソースが見つかりません。

セキュリティ スキャンの実行後に発生するヒープ インスペクションの脆弱性を修正する必要があります。スキャンによって生成されたドキュメントは、POJO プロパティ "private String password;" を指しています。また、「アプリケーションには、コンテンツ セキュリティ ポリシー ヘッダーを設定するコードが含まれていません」と記載されています。このヒープ インスペクションの脆弱性を削除する方法について誰か助けてくれませんか

nodejsには以下のコードがあります

checkmarx が上記のコードを見つけると、サニタイズして検証する必要があると表示されます。この問題を解決する方法を教えてください。

前もって感謝します

Checkmarx スキャンは、特定の「要素の値が適切にサニタイズまたは検証されずにコードを通過し、最終的にドロップダウン値が渡されるか選択される場所で OnItemDataBound メソッドでユーザーに表示される」と訴えます。例:

また

これらの値をサニタイズするにはどうすればよいですか?HTML をエンコードおよびデコードして、このような脆弱性の結果を回避することはできますか?

これはドット ネット アプリケーション用であることに注意してください。

mysql_fetch_array を Stored Cross-Site-Scripting 攻撃としてマークする Checkmarx ソース コード分析ツール.. 本当のバグである場合、なぜ、どのように解決するのですか? 以下はレポートの説明です。

abc.php の 1 行目のメソッドは、データベースから mysql_fetch_array 要素のデータを取得します。この要素の値は、適切にフィルタリングまたはエンコードされることなくコードを通過し、最終的に abc.php の 1 行目のメソッドでユーザーに表示されます。これにより、ストアド クロスサイト スクリプティング攻撃が可能になる可能性があります。この問題を解決するにはどうすればよいですか?

Checkmarx に関連する XS_Reflected_XSS の問題に直面しています。SAP HANA XSJS での作業。

以下は私のコードの抜粋です：

$.request.parameters.get("action"); を呼び出します。チェックマークの問題として。誰でもこれを解決する方法を知っています。

ありがとう。