問題タブ [fortify]

[ System.Web.Configuration.HttpRuntimeSection.EnableHeaderChecking]（http://msdn.microsoft.com/en-us/library/system.web.configuration.httpruntimesection.enableheaderchecking (VS.85).aspx）を（デフォルト）に設定してtrue、Httpを完全に防止するだけで十分ですか？応答分割などのヘッダーインジェクション攻撃？

ホワイトボックス侵入テストツール（fortify）がHttpResponse.RedirectCookieに関する悪用可能なhttpヘッダーインジェクションの問題を報告しているので質問していますが、攻撃を正常に実行する方法が見つかりません。（編集：..そしてEnableHeaderCheckingがオンになっています..）

学校の研究プロジェクトで Fortify Source Code Analyzer を使用して、オープン ソース Java Web アプリケーションのセキュリティをテストしようとしています。現在、Apache Lenya に取り組んでいます。私は最後の安定版リリース (Lenya v2.0.2) を使用しています。

ルート ディレクトリ内には、build.sh. tools/binこのファイルは、リリース (フォルダー内)に同梱されている Ant のバージョンを使用して Lenya をビルドするために呼び出されます。を実行すると、問題なく Lenya をビルドできます./build.sh。したがって、Fortify で次のコマンドを実行すると機能すると想定されます。

ただし、実行しようとすると：

私は得る：

ビルド ID Lenya が見つかりません。

buid.shファイルを調べたところ、現在の ant ホーム、クラスパス、および ant オプション変数をリセットし、ant ビルド コマンドを実行し、値をデフォルトにリセットしているだけであることがわかりました。そのため、スクリプトを実行して実行する代わりに、すべての変数を手動で (スクリプトを使用せずに) リセットしました。

それから私は走った：

しかし、同じエラーが発生しました。これが私が何か間違ったことをしているからなのか、それとも Fortify が正しく実行していないためなのかはわかりません。どんな洞察も素晴らしいでしょう。

不足しているクラスはcom.xpn.xwiki.test.AbstractXWikiComponentTestCaseです。これは解決できない唯一のクラスです。私は実行しました：

mvnパッケージ

次に、sourceanalyzerを使用してビルドしようとしましたが、これが見つからない唯一のクラスです。なぜmvnパッケージが私のためにこれを取得しなかったのか理解できません。

私は短期間の契約ギグを行っており、レガシーコードのいくつかの脆弱性にパッチを当てようとしています。私が取り組んでいるアプリケーションは、Classic ASP（VBScript）と.Net 2.0（C＃）の組み合わせです。彼らが購入したツールの1つは、Fortify360です。

アプリケーションの現在のクラシックASPページは次のとおりです。

私は知っています、私は知っています、短くて非常に危険です。

そこで、いくつかの（en / de）コーダーと妥当性確認/妥当性確認ルーチンを作成しました。

それでも、Fortifyは、これをヘッダー操作に対して脆弱であるとフラグを立てます。Fortifyはどのように、または正確に何を探していますか？

Fortifyが特定のキーワードを探していると思う理由は、.Net側では、Microsoft AntiXssアセンブリを含めて、GetSafeHtmlFragmentandUrlEncodeやFortifyなどの関数を呼び出すことができるからです。

何かアドバイス？

私はハドソンの新人です。Hudson でビルド後のアクションとして「sourcecodeanalyzer」コマンドを実行して、HTML レポートを生成したいと考えています。可能な場合は、コマンドを実行するための Hudson 構成手順を教えてください。

この点に関するあなたの最初の応答は非常に役に立ちます。

前もって感謝します。

私の会社では、コードをリリースする前に、ASP.NETコードでFortify360スキャンに合格する必要があります。HTML出力をサニタイズするためにどこでもAntiXSSを使用しています。また、入力を検証します。残念ながら、彼らは最近、Fortifyが使用していた「テンプレート」を変更し、現在、すべてのAntiXSS呼び出しに「不十分な検証」のフラグを立てています。これらの呼び出しは、AntiXSS.HTMLEncode（sEmailAddress）のようなことを行っています。

Fortifyを満足させるものを正確に知っている人はいますか？フラグが立てられているものの多くは、値がデータベースから取得され、ユーザーからはまったく取得されない場合に出力されるため、HTMLEncodeが十分に安全でない場合、何が何であるかわかりません。

sourceanalyzer -b ID ttt.sql (エラーなし) sourceanalyzer -b ID -scan -f result.fpr (エラーなし)

しかし、Fortify Audit Workbench を使用して result.fpr ファイルを開くと、Issues には何もありません (ホットなし、警告なし、情報なし)。sourceanalyzer のコマンドでパラメータを見逃していませんか?

Visual Studio 2008 プロジェクトで Fortify を実行しようとしています。プロジェクトは、単独で正常にビルドされます。Visual Studio 統合コントロールを使用して Fortify でプロジェクトを分析しようとすると、プロジェクトは正常にビルドされますが、エラー メッセージがスローされます。Fortify コンソールからの出力は次のとおりです。

スタンドアロンの Audit Workbench から Fortify を実行すると、次のエラー メッセージが表示されます。

「これは J2EE Web アプリケーションですか」を「いいえ」に変更する以外は、ほとんどのデフォルトのスキャン オプションをそのまま使用します (これも「はい」のままにしてみましたが、どちらもうまくいきませんでした。

エラー メッセージに関する情報を検索しても、スタック オーバーフローに関する別の質問が表示されるだけでしたが、プロジェクトのセットアップは私の Visual Studio プロジェクトとはかなり異なっているようです。とにかく、Visual Studio が提供する引数を使用してコマンド ラインからスキャンを実行しようとしましたが、同じエラー メッセージが表示されます。

Fortify のドキュメントには、ビルド ID はビルドの一部としてコンパイルおよびリンクされたファイルを追跡するために使用され、後でそれらのファイルをスキャンするために使用され、通常はプロジェクト名であることが記載されています。ビルド ID としていくつかの異なる文字列を試しましたが、何も機能していないようです。

誰が私がどこで間違っているのか知っていますか? 前もって感謝します。

更新: この問題は、ビルド ID がまったく作成されないため、分析の変換フェーズで発生します。sourceanalyzer ログからのログは次のとおりです。

CruiseControl.netまたは同様のツールを使用したサンプル構成はありますか?

コマンドラインを使用して fortify を実行した人はいますか? CI ビルドに fortify run を組み込もうとしていますが、その方法がわかりません。