问题标签 [bluemix-app-scan]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

41 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
116 浏览

ibm-cloud - Bluemix:我能否使用 Application Security on Cloud 扫描 Java ReST API

我计划使用 Bluemix 进行使用 Java 的 ReST API 开发。我想使用云上的应用程序安全来扫描应用程序以消除安全问题。

我可以使用它吗?有更合适的吗?

0 投票
0 回答
56 浏览

java - 如何从数据库中提取 appscan 源过滤器参数

使用 IBM AppScan SDK,我可以打开评估并应用过滤器来创建新评估。我想做的是生成一份报告,显示评估开始时有 x 个结果,在应用过滤器后,它现在有 y 个结果。我想在报告中包含我应用的过滤器的参数。

0 投票
1 回答
152 浏览

ibm-cloud - 云服务上的 IBM Bluemix 应用程序安全性

我想在一个动态 Web 应用程序上测试 IBM 的 Application Security on Cloud for Bluemix。

我遇到的问题是,在我声明需要登录后,唯一要填写的字段是用户名和密码以及第三个凭据选项。

我想知道是否有可能将字段和关联值定义为不同的登录方式?例如:用户名、PIN 和 DoB。

谢谢。

0 投票
2 回答
152 浏览

android - 如何从最新版本的仪表板中获取 IBM Bluemix android 应用程序的应用程序安全 ID?

我想在 IBM Bluemix 平台上构建一个 android 应用程序,并且需要应用程序安全密钥来运行这个应用程序。我还添加了应用程序安全服务。但是我无法在可用的教程或文档中提到的地方找到 appsecretId。这是启动应用程序所必需的。谁能告诉我在哪里可以找到它?

0 投票
1 回答
620 浏览

signalr - IBM Security Appscan 在 SignalR 连接上返回 MongoDB NoSQL 注入

我创建了一个 signalR 站点,显示从我们的 Intranet 收集的服务器数据。一切都相应地工作,没有问题。

页面上没有用户输入。它本质上是一个仪表板。

我已经用谷歌搜索,直接搜索了 IBM 的网站并在 jabbR 中询问......但没有任何结果说明为什么会发生这种情况。我了解有关注入的关键信息...但是没有用户输入要注入,它是 SignalR 的连接建立。

有任何想法吗?可能的假阳性?

IBM Security Appscan 报告:

{ "Url": "/signalr", "ConnectionToken": "0l6V6C/DRJsZ3dOFpL+UO+hpOt5NtkBiGLREN9L5no6/hD1a6ZYTdQJRX8bWG0nJfM+4aRRHvfoeTD9b2tjEf84aX+/ANWsnBe8QKupoTkguzE2P3G3zifuEH2lDMOlr7fCiQYbBUvi20Mb4bLlngw==", "ConnectionId": "fce58409-d505-4534-a318-01b90e333c57", "KeepAliveTimeout": 20.0, "DisconnectTimeout": 30.0, "ConnectionTimeout": 110.0, ...

AppScan 发送了三个请求:Error、True 和 False。所有三个响应都彼此不同,这暗示 MongoDB 注入成功。

0 投票
2 回答
1474 浏览

javascript - AppScan 使用 JavaScript 扫描什么?

我找不到任何好的文档来列出所有 IBM 的 AppScan Source 扫描 JavaScript 项目的内容。我浏览了他们的许多 PDF 和网站,但没有找到任何详细说明其涵盖和评论的内容。

  • AppScan 声称要在 JavaScript 中找到什么?
  • 它可以处理带有 Angular、Jquery 和其他 3rd 方库的项目吗?有什么处理不了的?
0 投票
0 回答
61 浏览

bluemix-app-scan - 在 AppScan 标准中配置玻璃盒

我想在 JBoss 应用服务器中配置一个玻璃盒代理。但是,当我安装玻璃盒的代理时,一旦我到达此部分并单击下一步。 在此处输入图像描述 我总是遇到此错误: 在此处输入图像描述 谢谢您的帮助

0 投票
1 回答
307 浏览

node.js - SSL certificate propagation issue with custom domain on Bluemix app

I uploaded my SSL certificate in the section of my custom domain in the space of my organization. I linked the domain with my application and I have created the CNAME record in my DNS to my broken app xxxxx-gb.bluemix.net .eu.

enter image description here

When I try to reach my application through my domain custom, I served me the Bluemix certificate and not mine. enter image description here

I tried to add a proxy on my server (NodeJS) but the situation does not change.

How can I fix the problem ? I need my certificate, to call my API, from my mobile application, it is the certificate must necessarily be mine and then TRUSTED

0 投票
2 回答
702 浏览

vb.net - VB.Net 中 File.Copy 方法中的 IBM AppScan Security PathTraversal 问题

我在 VB.Net 源上运行了 IBM AppScan 工具。我在路径遍历类别下的 File.Copy 方法中遇到了一个安全问题。

问题详细信息 - 漏洞类型 - PathTraversal 此 API 接受目录、文件名或两者。如果使用用户提供的数据来创建文件路径,则可以操纵该路径以指向不应被允许访问或可能包含恶意数据或代码的目录和文件。

我该如何解决这个问题?

0 投票
1 回答
37 浏览

android - 云上的应用程序安全性不检查加密

我有一个包含登录身份验证的 android 应用程序,我没有将加密的用户名和密码发送到后端进行身份验证。

当我在“云上的应用程序安全”中扫描此应用程序时,它没有显示任何错误或任何安全问题。我预计会出现安全问题,因为密码和用户名未加密。为什么我没有收到任何错误?


12345678910