问题标签 [bluemix-app-scan]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
jenkins - 将 IBM Application Security on Cloud (ASoC) 与 Jenkins 集成时出现问题
我正在尝试使用“IBM Application Security on Cloud Plugin”将 IBM Application Security on Cloud (ASoC) 与 Jenkins 集成。我已经在 Jenkins 中成功安装了插件并重新启动了 Jenkins。
在作业中添加“运行安全测试”构建步骤详细信息时,在选择凭据(如 Jenkins 凭据页面上定义)后,我在应用程序下拉列表中得到一个空列表,并且不知道原因。
注意: 1. 作为先决条件,我已经在 IBM Application Security on Cloud 中创建了一个应用程序。2. 通过从 ASOC 应用程序生成密钥 ID 和密钥,我在 Jenkins 凭证页面中添加了 ASOC API 凭证。3. 我正在使用 IBM Marketplace 上的 ASoC 试用版。
以下是 Jenkins Err 日志:
java - IBM Application Scanner 中的 BufferedReader 问题
我在我的应用程序中使用 BufferedReader 解析一个巨大的 XML 文件,并在通过 IBM Appscan 扫描它时(这是我们组织的一项任务),它显示出拒绝服务 (DoS) 攻击的高漏洞(问题类型 AppDOS)。我已经尝试过 BoundedBufferedReader 在解析时限制字符数以解决问题。但是,我仍然面临同样的问题。让我知道是否有任何解决方案或建议来解决它。
c# - APPSACAN: Authentication.Credentials.Unprotected
我使用 APPSCAN 对应用程序进行了扫描,报告说存在一个名为:“身份验证。凭据。未受保护”的漏洞,它在该方法中:
这是因为我正在发送没有保护或加密的 Web 服务凭据,但我不知道如何解决这个问题。有人可以指出我要解决这个问题的方向吗?
java - 用 Java 解决“加密会话 (ssl) cookie 中缺少安全属性”
最近,IBM Security AppScan 发现了加密会话 (ssl) cookie 中缺少安全属性的问题。报告如下:
这个应用程序是 Java 代码,我添加了一个过滤器来设置所有 cookie 的安全,代码:
}
它的工作原理是所有 cookie 都像这样响应两次,它会尝试一遍又一遍地登录(使用SSO 登录):
感谢您的热心帮助,我该如何启用安全和解决 cookie 问题,希望你们能给我一些想法来解决这个问题。谢谢!
java - 如何处理 CWE-400-Resource 耗尽错误
我们收到以下代码的 IBM APPSCAN 异常。
有人可以提出一种处理相同的方法。
java - IBM AppScan 的验证要求问题
IBM AppScan 在扫描我的应用程序以获取以下代码时引发了错误 Validation Required:-
我不确定为什么会抛出错误。会不会是误报?我可以用吗
laravel - 永久 Cookie 包含敏感会话信息 Laravel 使用 Appscan 安全工具
我已经使用 AppScan 工具扫描了 Laravel 项目,我在 AppScan 安全文档中面临安全问题永久 Cookie 包含敏感会话信息问题。
以下是 Header 的 My Network 信息:
此外,当我从服务器端停止/删除 cookie 时。我将阻止 csrf 令牌。我该如何解决这个安全问题。?
请帮忙!!提前致谢
java - IBM Cloud Foundry Java 服务应用程序:找不到类异常
我正在尝试在 ibm bluemix 上运行我的 java 应用程序。该应用程序已成功部署,但无法启动。日志包含错误消息:
错误:2018-10-26T11:25:08.85+0530 [APP/PROC/WEB/0] ERR 错误:无法找到或加载主类 com.afpva.retrain.identify.RPConfigApplication
它在本地环境中按预期工作。我的清单文件如下:
deployment - kubernetes 部署 - 容器未启动 - 错误 - InvalidImageName
下面是 Kubernetes 部署 yaml 文件-container镜像部分:
下面是部署后的错误信息:
ubuntu@ip-xxxx:~$ kubectl logs test-deployment-69c6d8xxx -n test
来自服务器的错误(BadRequest):pod“test-deployment-ccccxxx”中的容器“test-deployment”正在等待启动:InvalidImageName
另一个错误日志:
未能应用默认图像标签“ https://registry.ng.bluemix.net/test/test-service:test-branch-66 ”:无法解析图像参考“ https://registry.ng.bluemix.net /test/test-service:test-branch-66 ": 无效的参考格式
知道为什么吊舱没有出现吗?
javascript - 如何使 jQuery 不受 XSS 影响?
我有一个使用 jquery 和 bootstrap 的网站。
现在,当我通过扫描应用程序运行它时,会出现一堆问题,包括使用 append()、html() 和 write() 以及指向 XSS 攻击。这些问题可以在 bootstrap 和 jquery 文件 (bootstrap.js) 中找到。
在通过 stackoverflow 搜索后,我找到了这些 jquery 函数的安全替代方案,但不幸的是,这些替代方案破坏了我的应用程序。
我有什么办法可以在不更改底层引导代码的情况下解决安全问题?
或者它是否安全,因为该站点没有外部输入并且所有文件都来自受信任的来源?