问题标签 [bluemix-app-scan]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - Java 中的 Appscan Validation.Required 问题
我在我的应用程序上运行了 appScan。我可以看到字符串对象的大部分 Validation.Required 问题。但是,不确定 appscan 在这里期望什么验证。我们尝试了 null 和空检查仍然没有用。请任何人告诉我appscan对字符串对象的期望。
如果您需要更多信息,请告诉我
java - 验证对象
APPScan 在我的代码中有很多地方抛出了Validation.required错误,我在其中设置了一个对象。现在对象以两种方式设置:
一个)
我通过简单地对我从会话中获得的对象进行空检查来解决这个问题。
二)
我可以对所有参数进行空检查,然后在设置之前对完整对象进行空检查(我不知道这是否会解决问题)但是有更好的方法吗?我想为所有此类实例编写一个通用类。
部分想法:
a) 验证对象是否属于有效类。
b) 获取类的方法并迭代。
但是如何检查我设置的参数?
也欢迎任何其他类型的建议。
java - ResultSet update{ColumnType} 方法是否容易受到 SQL 注入的影响?
AppScan 源进行的安全扫描在以下代码的行中标记输入必须经过验证 (Validation.Required) uprs.updateString:
我认为这背后的意图是避免 SQL 注入攻击,但我不确定在那种情况下是否可行。
问题:SQL 注入攻击是否可能通过这些 JDBC 方法进行?JDBC 是如何在幕后实现的呢?这会是 AppScan 报告的另一个误报吗?
ibm-cloud - Bluemix cloudant,当我的项目网站启动时,它似乎是空的
我可以在 bluemix 上成功部署我的项目,但我看不到任何图像。当我在输入字段中输入数据时,它什么也没显示。我从您的 github 获取项目并按照您的步骤操作。我能做错什么?我会感谢你的帮助(杰夫)
security - 云静态分析上的应用程序安全性对我不起作用
我需要一些关于使用 Application Security on Cloud 应用程序的帮助。我正在尝试使用免费计划进行静态扫描。我已经安装了 eclipse 插件,在尝试扫描项目时出现此错误:
无法建立到静态分析器扫描管理器服务的连接。重新安装静态分析器插件并重试。如果此问题仍然存在,请联系您的 IBM 支持代表。在我的设置过程中,我确实选择了 IBM Bluemix 作为服务的位置。如果在代理服务器后面运行,请设置提到的提供代理详细信息的说明。我不知道有任何代理,我通过 ATT 网络客户端连接到 IBM 网络。
我还尝试从 Bluemix 控制台中扫描我的一个应用程序,该应用程序连接到云上的应用程序安全服务。扫描似乎已经开始但从未完成。
javascript - 通过篡改 POST 有效负载进行远程文件包含。真的可以通过HTTPS吗?
以下是我的前端应用程序加载所需 JS 文件的方式:
一个页面(在 HTTPS 上)将发送一个 POST 请求,描述应该从各种服务器加载哪些 JS 文件。有效载荷大致如下所示:
服务器将收集所有这些 JS 文件,将它们连接起来并发送回客户端。客户端将接收到的内容放在动态创建的<script>标签中。
我们为此运行了 IBM Appscan,令我惊讶的是,Appscan 报告了远程文件包含漏洞,并且该工具能够向 JSON 添加第三个参数,实质上是修改了有效负载。所以它看起来像这样:
我的问题是:
- 这真的是一个合理的场景吗?攻击者可以修改受害者浏览器发送的 POST 有效负载以包含远程恶意脚本?我只是无法解决这个问题-我确定我在这里遗漏了一些东西。
- 鉴于我们的架构可以在 JSON 有效负载中动态发送 JS 文件 URL 以供服务器加载并发送回客户端,我必须有哪些可能的解决方案来修复该漏洞?
- 我读到过使用HMAC对请求进行签名,但如果攻击者弄清楚了用于在客户端生成 HMAC 的算法,他可以在篡改后有效负载后重新计算 HMAC 并替换客户端发送的 HMAC,正确的?
此外,如果这有帮助,我们使用基于 cookie 的身份验证(Tomcat 服务器,在基于表单的身份验证之后为后续请求设置 JSESSIONID HttpOnly cookie)。
java - method.invoke 的使用
我是java的新手。我无法理解 method.invoke 的使用。请你能给我更详细的信息。Java 代码:
提前致谢。
linux - appscan.sh 命令出现“没有这样的文件或目录”错误
我正在尝试在 Linux 机器中使用 SAClientUtil.6.0.1142 生成 .irx 文件。但是,当我执行appscan.sh prepare -c <config file> -d <destination file>命令时,它会引发如下错误:
SAClientUtil.6.0.1142/bin/appscan.sh:第 75 行:/opt/SAClientUtil.6.0.1142/bin/..//jre/bin/java:没有这样的文件或目录
任何人请帮助我。
android - AppScan Source 扫描对 Cordova Android 项目有 143 个结果
我正在开发一个 Cordova 应用程序 (Cordova 7.0.1),并且需要我们公司的安全团队在移动应用程序上运行源扫描。我决定创建 Cordova Android (cordova-android 6.3.0) 项目并在其上运行 Source Scan。
结果包括 143 个发现,其中 36 个是高严重性。所有这些都来自 Android 项目中的 Cordova Java 代码。由于 Cordova 被广泛使用,我对此感到惊讶。这些发现是否合法,如果是,我是否必须自己更改 Cordova 代码?
我只能找到关于该主题的一个相关链接:http ://www-01.ibm.com/support/docview.wss?uid=swg21989966
