問題タブ [checkmarx]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

256 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
1 に答える
1877 参照

checkmarx - checkmarx での LDAP インジェクションの問題:

私はいくつかのアプリを開発しようとしており、checkmarx を使用してコードをスキャンし、以下の方法で LDAP インジェクションの下で問題が発生しました。

このメソッドを呼び出し、対応する値を取得するために request.getparameter() を使用しています。checkmarx は request.getparameter("userID") で問題を示しています。

問題の説明は、 「この要素の値は、適切にサニタイズまたは検証されずにコードを通過し、最終的にメソッド内の LDAP クエリで使用されます」です。

以下は私が試した方法の1つです

上記の変更でも問題は解決されません。

この問題を解決するアイデアはありますか?

0 投票する
1 に答える
805 参照

checkmarx - チェックマーク: ネットワークが利用できません

CLI ツールを使用して checkmarx スキャンを実行しています。Windows がインストールされたローカル マシンから実行してきましたが、完全に機能しました。Windows がインストールされている VM からまったく同じコマンドを実行しようとすると、常に問題が発生します。次のエラーが表示されます。

Caused by: java.io.IOException: Server returned HTTP response code: 401 for URL: https://checkmarx.server.com/cxwebclient//cxwebinterface/cxWSResolver.asmx?WSDL at sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1676) at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:254) at com.sun.org.apache.xerces.internal.impl.XMLEntityManager.setupCurrentEntity(XMLEntityManager.java:646) at com.sun.org.apache.xerces.internal.impl.XMLVersionDetector.determineDocVersion(XMLVersionDetector.java:148) at com.sun.org.apache.xerces.internal.parsers.XML11Configuration.parse(XML11Configuration.java:812) at com.sun.org.apache.xerces.internal.parsers.XML11Configuration.parse(XML11Configuration.java:777) at com.sun.org.apache.xerces.internal.parsers.XMLParser.parse(XMLParser.java:141) at com.sun.org.apache.xerces.internal.parsers.DOMParser.parse(DOMParser.java:243) at com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderImpl.parse(DocumentBuilderImpl.java:338) at com.ibm.wsdl.xml.WSDLReaderImpl.getDocument(WSDLReaderImpl.java:2188) ... 18 more [2016-12-05 00:18:48,569 FATAL] Server Name is invalid or network is unavailable. Error message: org.apache.cxf.service.factory.ServiceConstructionException: Failed to create service.

0 投票する
1 に答える
7080 参照

c# - Checkmarx: C# での二次 SQL インジェクション攻撃

次の方法で問題がないことを静的コード分析ツール (この場合は checkmarx) に確認するにはどうすればよいですか。

Checkmarx は次のように教えてくれます。

メソッド ExecuteQuery は、ExecuteReader 要素からデータベース データを取得します。この要素の値は、適切にサニタイズまたは検証されずにコードを通過し、最終的にメソッド ExecuteQuery のデータベース クエリで使用されます。これにより、二次 SQL インジェクション攻撃が可能になる可能性があります。

0 投票する
2 に答える
2745 参照

github - Checkmarx との Github 統合

コードの安全性スキャンに使用される Checkmarx との Github 統合に取り組んでいます。この方法は、github.com でホストされているリポジトリ (外部リポジトリ) では問題なく機能しますが、社内でホストされている内部リポジトリ (github.XXX.com) では機能しません。実際、接続は常に失敗しました (チェックマルクス)。

両方のリポジトリ (内部と外部) の設定を確認しましたが、同じように見えます。これら 2 つの異なるリポジトリの違いは何ですか? 助言がありますか?どうもありがとうございました。---ジョン


12345678910