问题标签 [checkmarx]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
checkmarx - checkmarx 中的 LDAP 注入问题:
我正在尝试开发一些应用程序并使用 checkmarx 扫描我的代码并在以下方法中遇到问题 - LDAP 注入。
我们正在调用此方法并使用 request.getparameter() 来获取相应的值,checkmarx 在 request.getparameter("userID") 处显示问题,
问题描述是 “然后此元素的值在没有经过适当清理或验证的情况下流经代码,并最终在方法中的 LDAP 查询中使用”
所以以下是我尝试过的方法之一
通过上述更改,问题也没有解决。
有什么想法可以解决这个问题吗?
checkmarx - Checkmarx:网络不可用
我正在使用 CLI 工具运行 checkmarx 扫描。我一直在安装了 Windows 的本地计算机上运行它,并且运行良好。每当我尝试从安装了 Windows 的 VM 运行相同的命令时,就会出现我的问题。我收到此错误:
Caused by: java.io.IOException: Server returned HTTP response code: 401 for URL: https://checkmarx.server.com/cxwebclient//cxwebinterface/cxWSResolver.asmx?WSDL
at sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1676)
at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:254)
at com.sun.org.apache.xerces.internal.impl.XMLEntityManager.setupCurrentEntity(XMLEntityManager.java:646)
at com.sun.org.apache.xerces.internal.impl.XMLVersionDetector.determineDocVersion(XMLVersionDetector.java:148)
at com.sun.org.apache.xerces.internal.parsers.XML11Configuration.parse(XML11Configuration.java:812)
at com.sun.org.apache.xerces.internal.parsers.XML11Configuration.parse(XML11Configuration.java:777)
at com.sun.org.apache.xerces.internal.parsers.XMLParser.parse(XMLParser.java:141)
at com.sun.org.apache.xerces.internal.parsers.DOMParser.parse(DOMParser.java:243)
at com.sun.org.apache.xerces.internal.jaxp.DocumentBuilderImpl.parse(DocumentBuilderImpl.java:338)
at com.ibm.wsdl.xml.WSDLReaderImpl.getDocument(WSDLReaderImpl.java:2188)
... 18 more
[2016-12-05 00:18:48,569 FATAL] Server Name is invalid or network is unavailable. Error message: org.apache.cxf.service.factory.ServiceConstructionException: Failed to create service.
c# - Checkmarx:c# 中的二阶 SQL 注入攻击
我如何满足静态代码分析工具(在本例中为 checkmarx)以下方法没有问题:
Checkmarx 告诉我以下内容:
方法 ExecuteQuery 从 ExecuteReader 元素获取数据库数据。然后,该元素的值在未经过适当清理或验证的情况下流经代码,并最终在方法 ExecuteQuery 中用于数据库查询。这可能会启用二阶 SQL 注入攻击。
github - Github 与 Checkmarx 的集成
我正在研究 Github 与 Checkmarx 的集成,用于代码安全扫描。这种方法对于托管在github.com的仓库(外部仓库)工作得很好,但不适用于托管在我们公司内部的仓库(github.XXX.com),实际上连接总是失败(无法通过仓库授权)检查马克思)。
我检查了两个存储库(内部和外部)设置,它们对我来说看起来一样。这两个不同的存储库有什么区别?有什么建议么?非常感谢你的帮助。 - -约翰
c# - 防止asp.net C#中的跨站点脚本攻击
下面是我得到 checkmarx 报告的代码,指出它容易受到存储的 XSS 的攻击。它说数据层从数据库中获取数据,用于 dt 元素。然后,该元素的值在未经适当过滤或编码的情况下流经代码,并最终在 aspx 页面中显示给用户。
后面的代码
我应该对传递给项目模板的所有列值进行编码,还是任何其他易受攻击的代码行。如果它的html编码,我如何实现它。请指导我解决这个问题。
c# - Asp.net C# 中的跨站点脚本攻击
以下是 checkmarx 报告已说明 XSS 风险的代码。
用户界面
aspx.cs
报告称:数据类文件从数据库中获取数据,用于 ExecuteScalar 元素。然后,该元素的值在没有经过适当过滤或编码的情况下流经代码,并最终在方法 Page_Load(aspx.cs) 中显示给用户
javascript - 关于 JavaScript ajax 方法的 Checkmarx“客户端 Dom 代码注入”
我有以下代码被 Checkmarx 标记为Client Dom Code Injection安全问题。Checkmarx 指出这result.Error条线是可能的注入点,我们不明白为什么。
为什么会发生这种情况,我们可以做些什么来解决这个问题?
java - checkmarx 中未经验证的数据库输出
在第 123 行发现了未经验证的 DB 输出。在第 123 行的@DestinationElement 中发现了可能的 XSS 漏洞利用。
问题名称:Stored_XSS
第 123 行:列表 listFile = Arrays.asList(file.listFiles());
如何解决这个 checkmarx 问题?
java - 字符串输入参数的 SSRF CheckMarx 漏洞
我正在为我的一个项目运行 CheckMarx 扫描,它带有一个方法的输入字符串参数之一的 SSRF 漏洞。我的方法如下所示,并且为参数param1引发了 SSRF 漏洞。
在该方法中,我使用 HttpClient GetMethod 调用第 3 方 URL,其中 param1 作为查询字符串参数传递。
CheckMarx 的 SSRF 是:
在第 55 行,我有
在第 87 行,我有
感谢您对解决此 SSRF 漏洞的任何帮助。谢谢你。
java - 生成 Checkmarx 报告时出现“OutOfMemoryError:Java 堆空间”的 Jenkins 作业
我的 Jenkins 在 Ubuntu 服务器实例中运行。完成后,当生成 Checkmarx 报告时,我遇到了一个Java heap space问题,如屏幕截图所示:
有人可以帮我如何在 Checkmarx 中增加 Java 堆空间吗?
要阅读 Atlassian KB 文章“ Scan Fails with Java Heap Space Exception ”,似乎需要一个帐户。