问题标签 [checkmarx]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c# - Checkmarx 检测模型类中的漏洞
我最近收到了我的项目的漏洞报告,使用工具“CheckMarx”构建。我对许多结果都满意,但它甚至指出一些简单的 C# 模型类易受攻击。
例如:-
我不明白究竟是什么导致了易受攻击的行为。
php - 如何避免php中的“可能的流控制漏洞”?
我遇到了一个安全漏洞 - 使用 Checkmarx 扫描以下 PHP 代码的可能流控制 [严重性 - 低]。使用 IF 或 isset() 时出错
谢谢 !!
javascript - 防止 Javascript 中的客户端潜在代码注入
我在 gae 中用 java 创建了一个应用程序,并针对 checkmarx 运行它以检查安全漏洞,它在标题下抛出错误 - 客户端潜在代码注入。它在以下行显示错误:
下面是我的代码片段,我不确定为什么在使用它之前转义电子邮件时它仍然抛出错误:
这是 loadAllData 方法使用传递的电子邮件值所做的事情:
任何人都可以帮忙吗?
java - 堆检查安全漏洞
我已经针对 checkmarx 工具运行我的 java 应用程序以发现安全漏洞,并且它不断地给出一个问题 - 堆检查,对于我使用字符数组的密码字段。除了指出密码字段的声明之外,它没有给出更多解释。
任何人都可以在这里帮助我,我还能寻找什么来解决这个问题?
javascript - AppScan 结果显示客户端跨帧脚本攻击错误
Mycodebase 的 AppScan 显示 Client Cross Frame Scripting Attack 中等错误
这是代码片段,
有任何想法吗 ?
jenkins - jenkins checkmarx 插件不在排除文件夹属性中使用环境变量?
我试图通过设置环境变量来传递 checkmarx 插件中的排除项。但是插件似乎没有将环境变量作为排除文件夹字段中的参数。
我已经安装了 Checkmarx 插件 7.2.1-26 和 Jenkins 版本。1.596.3
java - 如何清理和验证用户输入以通过 Checkmarx 扫描
我有一个从客户端接收字符串的端点,如下所示:
Checkmarx 抱怨说这个元素的值“在没有经过适当清理或验证的情况下流经代码,并最终在方法 doSomething 中显示给用户”
然后我尝试了这个:
但它仍然认为这是一个高严重性漏洞。
如何正确清理或验证以通过 Checkmarx 扫描?
c# - 侵犯隐私权 Checkmarx
在使用 checkmarx 扫描代码以查找安全漏洞时,报告了指向变量名称的隐私侵犯问题。
我正在使用此变量通过此名称(“身份验证”)在缓存中创建一个区域,该区域存储所有与身份验证相关的详细信息。
为了解决隐私侵犯问题,是否可以将此变量名称更改为一些不太有意义的名称。这如何构成安全威胁?
xss - 为什么 checkmarx 将此标记为 XSS 漏洞?
我在 HTML 文件中有以下代码 -
Checkmarx 已将此声明确定为潜在的 XSS 漏洞。这是 HTML 文件中的第一行(它将被插入到其他内容中的模板/部分)。
我的问题是 - 为什么它被标记为潜在的 XSS 漏洞?我确实阅读了有关它的 OWASP 页面,并了解我需要转义分配给属性的值,但正如您所看到的,属性的值很好。
security - 如何在 struts 1.3 中清理和验证用户输入登录以通过 Checkmarx 扫描
我在基于 的 Web 项目上启动了 checkmarx Struts 1.3,它返回了这个错误:
在第 xxx 行执行的方法...\action\AbstractAction.java获取表单元素的用户输入。然后,此元素的值在未经过适当清理或验证的情况下流经代码,并最终在第 1 行的方法 %> 中显示给用户../xx.jsp。这可能会启用跨站点脚本攻击。
如何正确清理或验证以满足 Checkmarx 的要求?