問題タブ [fortify]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - EnableHeaderChecking = trueは、Httpヘッダーインジェクション攻撃を防ぐのに十分ですか?
[ System.Web.Configuration.HttpRuntimeSection.EnableHeaderChecking
](http://msdn.microsoft.com/en-us/library/system.web.configuration.httpruntimesection.enableheaderchecking (VS.85).aspx)を(デフォルト)に設定してtrue
、Httpを完全に防止するだけで十分ですか?応答分割などのヘッダーインジェクション攻撃?
ホワイトボックス侵入テストツール(fortify)がHttpResponse.Redirect
Cookieに関する悪用可能なhttpヘッダーインジェクションの問題を報告しているので質問していますが、攻撃を正常に実行する方法が見つかりません。(編集:..そしてEnableHeaderCheckingがオンになっています..)
java - Fortify Source Analyzer と Apache Lenya
学校の研究プロジェクトで Fortify Source Code Analyzer を使用して、オープン ソース Java Web アプリケーションのセキュリティをテストしようとしています。現在、Apache Lenya に取り組んでいます。私は最後の安定版リリース (Lenya v2.0.2) を使用しています。
ルート ディレクトリ内には、build.sh
. tools/bin
このファイルは、リリース (フォルダー内)に同梱されている Ant のバージョンを使用して Lenya をビルドするために呼び出されます。を実行すると、問題なく Lenya をビルドできます./build.sh
。したがって、Fortify で次のコマンドを実行すると機能すると想定されます。
ただし、実行しようとすると:
私は得る:
ビルド ID Lenya が見つかりません。
buid.shファイルを調べたところ、現在の ant ホーム、クラスパス、および ant オプション変数をリセットし、ant ビルド コマンドを実行し、値をデフォルトにリセットしているだけであることがわかりました。そのため、スクリプトを実行して実行する代わりに、すべての変数を手動で (スクリプトを使用せずに) リセットしました。
それから私は走った:
しかし、同じエラーが発生しました。これが私が何か間違ったことをしているからなのか、それとも Fortify が正しく実行していないためなのかはわかりません。どんな洞察も素晴らしいでしょう。
maven-2 - FortifySourceanalyzer-XWikiを分析するときにJavaクラスがありません
不足しているクラスはcom.xpn.xwiki.test.AbstractXWikiComponentTestCase
です。これは解決できない唯一のクラスです。私は実行しました:
mvnパッケージ
次に、sourceanalyzerを使用してビルドしようとしましたが、これが見つからない唯一のクラスです。なぜmvnパッケージが私のためにこれを取得しなかったのか理解できません。
asp-classic - クラシックASPでFortify360を使用している人はいますか?ヘッダー操作の脆弱性のストーリー
私は短期間の契約ギグを行っており、レガシーコードのいくつかの脆弱性にパッチを当てようとしています。私が取り組んでいるアプリケーションは、Classic ASP(VBScript)と.Net 2.0(C#)の組み合わせです。彼らが購入したツールの1つは、Fortify360です。
アプリケーションの現在のクラシックASPページは次のとおりです。
私は知っています、私は知っています、短くて非常に危険です。
そこで、いくつかの(en / de)コーダーと妥当性確認/妥当性確認ルーチンを作成しました。
それでも、Fortifyは、これをヘッダー操作に対して脆弱であるとフラグを立てます。Fortifyはどのように、または正確に何を探していますか?
Fortifyが特定のキーワードを探していると思う理由は、.Net側では、Microsoft AntiXssアセンブリを含めて、GetSafeHtmlFragment
andUrlEncode
やFortifyなどの関数を呼び出すことができるからです。
何かアドバイス?
hudson - ビルド後のアクションとして Hudson でコマンドを実行する
私はハドソンの新人です。Hudson でビルド後のアクションとして「sourcecodeanalyzer」コマンドを実行して、HTML レポートを生成したいと考えています。可能な場合は、コマンドを実行するための Hudson 構成手順を教えてください。
この点に関するあなたの最初の応答は非常に役に立ちます。
前もって感謝します。
c# - FortifyとAntiXSS
私の会社では、コードをリリースする前に、ASP.NETコードでFortify360スキャンに合格する必要があります。HTML出力をサニタイズするためにどこでもAntiXSSを使用しています。また、入力を検証します。残念ながら、彼らは最近、Fortifyが使用していた「テンプレート」を変更し、現在、すべてのAntiXSS呼び出しに「不十分な検証」のフラグを立てています。これらの呼び出しは、AntiXSS.HTMLEncode(sEmailAddress)のようなことを行っています。
Fortifyを満足させるものを正確に知っている人はいますか?フラグが立てられているものの多くは、値がデータベースから取得され、ユーザーからはまったく取得されない場合に出力されるため、HTMLEncodeが十分に安全でない場合、何が何であるかわかりません。
tsql - Fortify を使用して T-SQL を分析する方法
sourceanalyzer -b ID ttt.sql (エラーなし) sourceanalyzer -b ID -scan -f result.fpr (エラーなし)
しかし、Fortify Audit Workbench を使用して result.fpr ファイルを開くと、Issues には何もありません (ホットなし、警告なし、情報なし)。sourceanalyzer のコマンドでパラメータを見逃していませんか?
c++ - Visual Studio プロジェクトのスキャン中に Fortify がエラーをスローする
Visual Studio 2008 プロジェクトで Fortify を実行しようとしています。プロジェクトは、単独で正常にビルドされます。Visual Studio 統合コントロールを使用して Fortify でプロジェクトを分析しようとすると、プロジェクトは正常にビルドされますが、エラー メッセージがスローされます。Fortify コンソールからの出力は次のとおりです。
スタンドアロンの Audit Workbench から Fortify を実行すると、次のエラー メッセージが表示されます。
「これは J2EE Web アプリケーションですか」を「いいえ」に変更する以外は、ほとんどのデフォルトのスキャン オプションをそのまま使用します (これも「はい」のままにしてみましたが、どちらもうまくいきませんでした。
エラー メッセージに関する情報を検索しても、スタック オーバーフローに関する別の質問が表示されるだけでしたが、プロジェクトのセットアップは私の Visual Studio プロジェクトとはかなり異なっているようです。とにかく、Visual Studio が提供する引数を使用してコマンド ラインからスキャンを実行しようとしましたが、同じエラー メッセージが表示されます。
Fortify のドキュメントには、ビルド ID はビルドの一部としてコンパイルおよびリンクされたファイルを追跡するために使用され、後でそれらのファイルをスキャンするために使用され、通常はプロジェクト名であることが記載されています。ビルド ID としていくつかの異なる文字列を試しましたが、何も機能していないようです。
誰が私がどこで間違っているのか知っていますか? 前もって感謝します。
更新: この問題は、ビルド ID がまったく作成されないため、分析の変換フェーズで発生します。sourceanalyzer ログからのログは次のとおりです。
cruisecontrol.net - 自動化されたビルド プロセスを備えた Fortify360?
CruiseControl.netまたは同様のツールを使用したサンプル構成はありますか?