問題タブ [fortify]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - Fortify Path 操作エラー
Fority Scan は、次のスニペットで「パス操作」セキュリティの問題を報告しました
そのため、fileLocation でブラックリストに登録された文字をチェックして例外をスローしていますが、Fortify は例外をスローしています。
スキャンレポートを無視する必要がありますか、それともこれに対する正しい修正は何ですか?
c# - リスクの解決方法 Unreleased Resource: Unmanaged Object(unmanaged_object) via fortify
最近、単純な C# プロジェクトがありますが、fortify を介したスキャン レポートによるセキュリティ リスクがあります。このプロジェクトは、.NET Windows フォーム アプリケーションに基づいています。このリスクの名前は ですUnreleased Resource: Unmanaged Object(unmanaged_object)。
たとえば、ツールボックスのコントローラーの図をフォーム デザインにドロップして、ラベル コントローラーを作成したい場合。次に、フォントサイズを変更すると、コードがForm1.Designer自動的に変更されます。たとえば、次のコードが生成されます。
this.label1.font = new System.Drawing.Font(...)
重要なのは、コンストラクターを介して Font オブジェクトを宣言することSystem.Drawing.Font(...)です。しかし、私たちはこのオブジェクトを処分しませんか? では、このリスクを回避するにはどうすればよいでしょうか。
ps、Form1.Designerファイル内のビジュアルスタジオによって生成された領域のコードを変更すると。その後、フォームを編集することさえできなくなります ~ (コントローラーの設定 (例:foreColor底のプロパティの変更) により、ファイルのこの部分のコードが変更されるため)。
また、初期化メソッドですべてのコントローラーを作成する必要はありません。誰かがこの問題を解決する良い方法を持っていますか? どうもありがとうございました!!
java - XSS の脆弱性JSP ページのタグ
プロジェクトの JSP ページに対して fortify スキャンを実行すると、Fortify はページを修正するためにさらに XSS の問題を訴えます。次のような場所のほとんどに不平を言っています:<c:out>ステートメント。<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>私は関数 escapeXml を使用して試しました${fn:escapeXml(path)}が、これはテキスト全体をそのまま印刷しています。
実際には、以下のように JSP にコードがあります。<C:out value="${cdt}"/>タグの XSS 脆弱性を修正したい。
<c:out>タグの XSS 脆弱性を修正する方法はありますか?
java - よく誤用される: 認証 - Fortify
fortify を使用してスキャンすると、以下のコードで「よく誤用される: 認証」のような 5 つの脆弱性が見つかりました。この問題を回避するための修正はありますか。
.getLocalHost()要塞の不平を問題として呼ぶとき。
dom - XSS - クロスサイト スクリプティング: DOM の問題
Fortify スキャンは、この以下のエラーを重大として検出しました。助けてください。
switchcontent.loadpage=function(page_request, header){ var innercontent=document.getElementById(header.id.replace("-title", "")) //このヘッダーのコンテンツ コンテナを参照する innercontent.innerHTML=switchcontent_ajax_msg //表示 "ページ メッセージを取得しています" if (page_request.readyState == 4 && (page_request.status==200 || window.location.href.indexOf("http")==-1)){ innercontent.innerHTML=page_request.responseText ヘッダー。 ajaxstatus="ロード済み" } }
XSS を回避するためにこのコードを修正するには、どのような変更が必要ですか? どんな助けでも大歓迎です。ありがとうございました。
c# - .cs だけでなく .dll ファイルに対して Fortify を実行する
既存の質問の .NET バージョン.java の代わりに .jar ファイルで fortify を実行できますか?
私のチームは Fortify 5.15.0.0060 を使用しています。Visual Studio で .NET プロジェクトをスキャンしています。プロジェクト設定には、次のコマンド ライン引数が表示されます。
これは、.cs ソース コード ファイルの問題を浮き彫りにしていますが、ソリューションの一部を構成する DLL (およびバイナリと共に出力ディレクトリにコピーされる) を見ていないようです。これらのライブラリの多くでは、.pdb ファイルにアクセスできませんが、Fortify が限られた量のスキャンを実行できることを期待していました。
コマンド ライン引数を追加して、PDB ファイルの有無にかかわらず DLL ファイルを含めることはできますか?