问题标签 [checkmarx]

我有以下 JPA 存储库代码：

我正进入（状态

“资源访问授权不当”

上述代码的 CheckMarx 问题。

如何解决此类 CheckMarx 问题？

我正在使用 Checkmarx 来分析我的项目，唯一剩下的中等严重性项目是Missing_HSTS_Filter，目标名称是HSTSFilter。在我的web.xml，我有：

HSTSFilter班级：

所以我尝试了其他方法，因为我使用的是 Tomcat 7，所以我尝试在以下位置添加以下内容web.xml：

Checkmarx 仍然在抱怨，说这次的目的地名称是StatementCollection. 我不明白那是什么意思。

我错过了什么？

我有示例 Spring Boot 控制器代码，如下所示：

即使我对字符串字段进行了清理something，checkmarx 仍然抱怨：

在没有经过适当清理或验证的情况下流过代码，并最终在方法 doSomething 中显示给用户

我不知道有什么意义或如何清理 javaLocalDate类型字段，而且对于 XSS 要求，除了字符串之外不需要清理字段。

任何人都知道如何编写代码来让 checkmarx 开心吗？我知道编写一些代码只是让一些工具工作很沮丧。

我正在使用弹簧控制器，我有方法获取下载文件。

控制器方法用于下载文件，我将文件名设置为此..

其中文件名来自控制器方法，方法看起来像..

我在 checkmarx 中得到的是这个。报告名称参数。然后，此元素的值在未经过适当清理或验证的情况下流经代码，并最终在 downloadCSV 中的 HTTP 响应标头中使用。在某些无法缓解此攻击的旧版本中，这可能会启用 HTTP 响应拆分攻击。

我正在尝试修复 checkmarx 扫描给出的安全问题。在类型中，“信任边界违规”。我尝试了多种解决方案，但似乎都没有。

我尝试了大多数其他解决方案提供的验证检查，也尝试了规范化。但它仍然无法正常工作。

Checkmarx 显示的问题：此元素的值在未经过适当清理或验证的情况下流经代码，最终存储在服务器端 Session 对象中。（违反信任边界）

我在接受 JMS 消息的 onMessage() 方法中的 checkmarx 扫描（在代码中找到与安全相关的漏洞）期间对不受信任的数据进行反序列化：

该问题的任何修复或解决方案？

我已尝试添加null检查并尝试捕获块，但我无法解决此问题。

错误：第 180 行的 VCSSource/Web/Controllers/EnvController.cs 的 DeleteConfirmed 可能无意中允许在第 180 行的对象 VCSSource/Web/Controllers/EnvController.cs 中设置 DeleteConfirmed 中的 SaveChanges 的值

代码 ：

作为身份验证过程的一部分，我们System.DirectoryServices.DirectoryEntry根据用户输入的用户名和密码构建一个：

但是当我们通过Checkmarx运行代码时，它声称存在“LDAP 注入”漏洞typedUserName，typedPassword因为它们没有经过清理。我不明白为什么，因为根据定义，密码可以是任何东西......而且使用的构造函数显然是为了接受一个username和password作为第二个和第三个参数。

我在不同 python 项目的源代码中的几个地方都得到了 OS_Access_Violation。它出现在这样的区域：

通常与以下内容相结合：

os.makedirs(args.output_dir, exist_ok=True)

也

和

'args = parser.parse_args()'

没有与此发现相关的描述，因此我不确定它的含义以及正确的补救措施是什么。我也不确定它是否指的是开发人员意义上的访问冲突（也就是程序崩溃），或者它是否是对不应访问的数据的引用，或者究竟是什么。

不幸的是，谷歌对此也没有帮助。

那么有谁知道这个神秘的高优先级发现指的是什么，以及正确的解决方法是什么？谢谢！

我们能否用 SonarQube 替换静态应用程序安全测试 SAST 工具（如 Fortify、Checkmarx 和 IBM Appscan）。

根据 SonarQube Roadmap Docs 8.1 ( https://docs.sonarqube.org/latest/ )，它涵盖了源自建立标准的所有安全规则：CWE、SANS Top 25 和 OWASP Top 10。