問題タブ [fortify]

HP WebInspect で Fortify Security スコープを構成した人はいますか?

Tomcat でセキュリティ スコープを構成しましたが、Webinspect はまだ scurityscope エージェントを検出しません。

入力はありますか？

fortify を使用して Java ソース コードをスキャンしていますが、以下のエラーが表示されます。

200 行目のコードを以下に示します。

getProduct メソッドのコードの下の Util.java hsa:

この XSS 脆弱性を修正する方法を誰か教えてもらえますか?

ありがとう！

アプリケーションキャッシュオブジェクト=>セッションオブジェクトを取得し、変更して使用する必要があります。すべて正常に動作していますが、Fortify から Trust Boundary Violation の脅威を受けています (詳細はこちら) https://www.fortify.com/vulncat/en/vulncat/sql/trust_boundary_violation.html .

これを修正する方法についてのアイデアはありますか?

Asp.Net プロジェクトのスキャン中に、アクセス制御データベースというエラーが発生しました。

それは言う

「適切なアクセス制御がなければ、ユーザーが制御する主キーを含む SQL ステートメントを実行すると、攻撃者が許可されていないレコードを表示する可能性があります。」

入力フィールドには適切な検証があり、データはレイヤー間で移動します。つまり、フロント エンド (UI) -> ビジネス レイヤー -> データ レイヤーです。

問題を解決できるように、コントロールまたはデータベースに設定するプロパティはありますか

私の J2EE/Java コードの一部では、getRequestURI()XSS 攻撃を防ぐためにサニタイズするために の出力に URLEncoding を実行しますが、Fortify SCA では検証が不十分であると見なされます。

なんで？

I am running Fortify (2.6.5) on a few very large projects, but it is failing to flag a few key issues, which it really must. It seems as if Fortify does some pattern matching for variables named something like 'password', to then perform dataflow analysis. This is great, and helps ensure that privacy violations do not occur with such sensitive data, such as writing them to a logger (in debug).

This is all well and good, but we have cases of passwords being passed into the system through other variable names such as 'credential', as well as other confidential information that needs to be treated with the same level of strictness in handling, as Fortify does with variables containing the string 'password'!

Is there some easy way of adding to / configuring such a list of keywords so that Fortify acts upon them as it does 'password'?

ソースコードを分析するために、Fortify360 プラグインで maven を使用しています。sca:translate ステップは正常に実行され、正しい sca-translate-java.txt ファイルが生成されるように見えますが、sca:scan ステップは実際にはどのサブプロジェクトでもスキャンを実行しません。

理由はありません。次のようなエラーメッセージだけです。

*サブプロジェクトのスキャンをスキップ

Fortify は初めてです。誰でもこれを経験したことがあり、スキャンをスキップする理由についていくつかのアイデアがありますか?

ありがとう！

Fortify は、新しいファイル (パス) 比較が行われる行でパス操作エラーを発生させます。Struts2 を使用しています。

fortify がこのエラーを出さないように、この問題を修正する方法を誰か教えてもらえますか?

ファイルがWebサーバーに存在するかどうかを確認する必要があるため、ファイル名を引数として渡し、web.xmlからディレクトリパス全体を取得し、それをファイル名に追加し、パスを作成してチェックしますFile オブジェクトに対して、それが存在するかどうかを確認します。

次のバージョンを使用して、アプリケーションとWebサービスをweblogicにデプロイしようとしています。

• Weblogic 10.3.5
• Hibernate 4.1.1
• Hibernate JPA API 2.0
• EJB 2.0
• Java 6

Webサービスに電話すると、エラーが発生します

確認しましたが、他の永続APIjarは含まれていません。

私の外部jarリストは次のとおりです。

• ant-jakarta-oro-1.6.jar
• antlr-2.7.2.jar
• アスペクトjrt-1.5.3.jar
• cactus.core.framework.uberjar.javaEE.14-1.8.1.jar
• cactus.integration.maven2-1.8.1.jar
• commons-beanutils-1.8.0.jar
• commons-chain-1.2.jar
• commons-codec-1.3.jar
• commons-collections-3.2.1.jar
• commons-digester-1.8.jar
• commons-fileupload-1.1.1.jar
• コモンズ-httpclient-2.0-rc2.jar
• commons-lang3-3.0.1.jar
• commons-logging-1.1.1.jar
• commons-validator-1.3.1.jar
• dom4j-1.6.1.jar
• generic-web-service-schema-4.0.jar
• hibernate-commons-annotations-4.0.1.Final.jar
• hibernate-core-4.1.1.Final.jar
• hibernate-jpa-2.0-api-1.0.1.Final.jar
• httpunit-1.6.jar
• javassist-3.15.0-GA.jar
• jboss-logging-3.1.0.GA.jar
• jboss-transaction-api_1.1_spec-1.0.0.Final.jar
• js-1.5R4.1.jar
• jstl-1.0.2.jar
• jtidy-4aug2000r7-dev.jar
• junit-3.8.2.jar
• nekohtml-1.9.6.jar
• oracle.webservices.standalone.client-11.1.1.jar
• oro-2.0.8.jar
• 標準-1.0.6.jar
• struts-core-1.3.10.jar
• struts-el-1.3.10.jar
• struts-taglib-1.3.10.jar
• struts-tiles-1.3.10.jar
• weblogic-webservices-api-1.1.0.0.jar
• xercesImpl-2.8.1.jar
• xml-apis-1.3.03.jar
• xmlParserAPIs-2.2.1.jar

これらを確認しましたが、OneToManyクラスを持つのはHibernateJPAだけです。問題はJPA1.0とJPA2.0の間の競合であることがわかっているので、競合を回避する方法があるかどうかを知りたいだけです。

ありがとう

Fortify Eclipseのカラースキーマを変更することは可能ですか？

このパスでいくつかのファイルを見つけました

これは、Eclipseがコードの色を定義するために使用するもののように見えますが、それらを正常に変更する方法を提供することはできません。

更新： Fortifyのバージョンは「AuditWorkbench3.50」です。Eclipseコードエディターを使用してコードを表示しますが、Eclipseプラグインではありません。Eclipseがルックアンドフィールをカスタマイズするために使用するのと同じファイルを使用していることを発見しましたが、それらを正常に変更することはできませんでした。