问题标签 [checkmarx]

如何解决 JS 上的客户端 DOM 代码注入问题？谁能帮我？

问题如下：

红框表示问题出在哪里。但我不知道如何解决它。

我们正在使用 IBM Integration Bus 编写一个大型应用程序，并使用 ESQL 作为主要的转换语言。我们正在研究 CheckMarx 以进行静态代码分析和扫描。但是 CheckMarx 不支持开箱即用的 ESQL。

是否可以为 CheckMarx 编写一个自定义插件，使其也能够扫描和分析 ESQL 代码？我找不到任何相同的在线资源。

我需要修复运行安全扫描后出现的堆检查漏洞。扫描生成的文档指向 POJO 属性“private String password;”。还提到“该应用程序不包含任何设置内容安全策略标头的代码。” 任何人都可以帮助我如何删除此堆检查漏洞

我已经对我的项目运行了复选标记安全检查，并为“cstmt.execute();”行获得了 A2-Broken 身份验证和会话管理警告 我知道它向我展示了 owasp 提到的前 10 个漏洞之一。

需要帮助来了解我的代码有什么问题以及如何解决这个问题。

上述方法存在于 DAO 层并被服务级别存在的另一个方法调用，该方法接受 REST 调用和输入为 JSON 将 JSON 转换为 Userbean 对象并作为参数传递给 editUser

我们在nodejs中有以下代码

当 checkmarx 找到上面的代码时，它说我应该被清理和验证。谁能帮忙解决这个问题？

提前致谢

Checkmarx 扫描抱怨某些“元素的值在没有经过适当清理或验证的情况下流经代码，并最终在传递或选择下拉值的地方以方法 OnItemDataBound 显示给用户”。示例：

或者

如何清理这些值？HTMLencode 和 decode 能否避免此类漏洞结果？

请注意，这是针对点网应用程序的。

为了逃避跨站点脚本攻击，我必须清理/验证来自 RequestBody 的 java 对象。我可以使用编码器（来自 OWASP）对整个 java 对象进行编码吗？似乎编码器只会编码字符串并且不能接受对象。我在很多地方都有类似的问题，我应该处理这个问题。

有没有办法对整个对象进行消毒以避免跨站点脚本问题？

Checkmarx源代码分析工具将mysql_fetch_array标记为存储跨站点脚本攻击。如果是真正的错误，为什么以及如何解决？以下是报告的描述：

abc.php 第 1 行的方法从数据库中获取 mysql_fetch_array 元素的数据。然后，该元素的值在没有经过适当过滤或编码的情况下流经代码，并最终在 abc.php 的第 1 行的方法中显示给用户。这可能会启用存储的跨站点脚本攻击。如何解决这个问题？

我在我的代码上的 checkmarx 扫描中收到以下消息。获取文本元素的用户输入。然后，此元素的值在未经过适当清理或验证的情况下流经代码，并最终以方法以下是我的代码显示给用户。可以帮助我如何清理以下场景。

脚本如下：

我在下一行得到 checkmarx 漏洞，因为没有经过适当的清理或验证

有人可以帮助我，如何正确清理上述行。

我面临与 Checkmarx 相关的 XS_Reflected_XSS 问题。在 SAP HANA XSJS 中工作。

以下是我的代码摘录：

它调用 $.request.parameters.get("action"); 作为checkmarx问题。任何人都知道如何解决这个问题。

谢谢。