问题标签 [checkmarx]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
salesforce - CRUD 删除 salesforce 安全问题
当收到扫描结果时 salesforce-Checkmarx 将如何进行代码扫描,所以我的问题是,根据一些博客和 salesforce 标准文档,我在删除记录之前检查了删除权限,但我仍然收到 CURD 删除问题,(安全提交完成 2时间,得到相同的结果)。我正在指定我的代码
c# - 如何解决 Checkmarx 报告的存储型 XSS 问题
Checkmarx 对我正在处理的代码库进行了分析,并返回了一份包含“Stored XSS”问题的报告。该问题指出:
方法 GetHomepageFilterByLocale HomepageRepo.cs 从数据库中获取 Select 元素的数据。然后,此元素的值在没有经过适当过滤或编码的情况下流经代码,并最终在 GetProductsByFilterType HomepageController.cs 方法中显示给用户。这可能会启用存储的跨站点脚本攻击。
是否有解决此问题的标准推荐方法?
请参阅下面提到的两种方法的代码片段。
主页Repo.cs
主页控制器.cs
GetHomepageViewModel() 方法是调用存储库方法的地方。
checkmarx - 有没有办法在没有 UI 的情况下执行 Checkmarx 扫描?
我想知道是否有一种无需进入用户界面即可运行 Checkmarx 扫描的方法。谢谢
command-line-interface - 如何配置 runCxConsole.cmd 文件
我正在尝试使用 Checkmarx CLI,但有些参数我真的不知道如何配置。
这是文件:
我真的不知道 pushd、popd 和 CPATH 是什么意思。当我运行 ant 命令时,我收到以下信息:
非常感谢
java - CheckMarx XSRF 攻击问题
我有一个 REST 控制器,它有一个deleteStudent接受两个参数
的方法,studentId即 isLong和sectionwhich is String。
对于上面的代码 checkmarx 抱怨这个参数值流经代码,最终用于修改数据库内容。应用程序不需要为请求更新用户身份验证。这可能会启用跨站点请求伪造 (XSRF)。
我在 Htmlutils.htmlescape部分尝试过(来自spring web util)但没有运气。
如何摆脱这个 checkmarx 问题?
如果字段是 Long 类型,那么 XSRF 和 SQL 注入攻击是如何可能的?
java - 如何保护 Class.forName("SimpleClass")?
我对我们的应用程序进行了安全扫描,出现的安全问题之一是“下载没有完整性检查的代码”。这条线的风险点在Class.forName("SimpleClass");
如何保护上面的代码行?如何确保参数 forforName("")不是我要加载的恶意类。
编辑:使用的安全扫描是 Checkmarx。
checkmarx - 未提供源位置
我正在从 CLI 插件运行 checkmarx。这是我的命令:
在我的文件夹 source_code 上,我有带有源代码的项目。它就在那里。我检查了很多次。这是我收到的输出
问题是什么?:(
checkmarx - CheckMarx 是否可以通过 .net 解决方案进行扫描?
我们CxSDKWebService通过给它一个 TFS 文件夹路径来使用 CheckMarx 扫描 .net 代码。这在大多数情况下都有效,因为我们每个解决方案都有一个 TFS 文件夹。
我们确实有几个场景,其中多个解决方案的文件存在于一个文件夹下,而 CheckMarx 很难保持与特定解决方案有关的扫描结果。它会将所有文件集中在 CheckMarx 项目下,而所有其他项目几乎没有 LOC。可以理解,因为它的入口点是文件夹而不是 .net 解决方案。
有没有办法根据解决方案进行扫描,这样扫描仪会忽略文件夹中不属于当前正在分析的解决方案的所有文件?
- 文件和文件夹排除不仅难以管理,而且开发团队不断将文件添加到该文件夹下的特定解决方案中。管理排除列表是一场噩梦。
- 重组 TFS 结构以使解决方案:文件夹具有 1:1 的比例也是不可能的。
附加信息
我们正在使用 CheckMarx API 启动扫描ScanWithOriginName()。本质上,我们的问题是让这个 API 调用在 .net 解决方案上工作,这样扫描将忽略所有不属于给定 .net 解决方案的文件。
android - checkmarx 报告了 Volley 的 REFELCTED_XSS_ALL_CLIENT
我的 Android 应用项目使用 Checkmarx 扫描源代码以查找安全问题。Checkmarx 报告了 Google Volley 库的问题。这是错误描述:
\app\libraries\volley\src\main\java\com\android\volley\toolbox\HurlStack.java 第 89 行的方法 performRequest 获取用户对 getHeaders 元素的输入。然后,此元素的值在未经过适当清理或验证的情况下流经代码,并最终在 \app\libraries\volley\src\main\java\com\android\volley\toolbox\JsonArrayRequest 的第 61 行的方法 parseNetworkResponse 中显示给用户.java。这可能会启用跨站点脚本攻击。
它表示请求的标头被缓存,然后在JsonArrayRequest::parseNetworkResponse. 但是我根本找不到它显示给用户。这是虚惊一场吗?在什么情况下,Android 应用程序可能会发生跨站点脚本攻击?仅当您使用网络视图时才会发生这种情况吗?
sonarqube - SonarQube 5.6.4 中的 Checkmarx 插件
可以在 SonarQube 5.6.4 中使用的 Checkmarx 插件版本是什么?
我们在Checkmarx Widget Configuration中遇到问题,我们得到错误Connection to Checkmarx server failed。
有什么建议可以完成这项工作吗?使用 Checkmarx 插件的 8.2 和 7.2.2.5 时出现此错误。