问题标签 [checkmarx]

Checkmarx 将以下代码片段指示为 sql 注入漏洞。

在 checkmarx 报告中描述以下代码片段，如下所示

“从 readLine 元素获取用户输入。然后，该元素的值在未经过适当清理或验证的情况下流经代码，这可能会导致 SQL 注入攻击”

为简洁起见，我没有包括全文。

//sql_inserts.sql 文件包含一组插入语句

我想将上面的代码转换为 checkmarx 友好的方式。在那之后，不应将代码片段突出显示为高 sql 注入漏洞。

是否可以将 Checkmarx 静态应用程序安全测试 (SAST) 工具集成到 Gitlab 持续集成 (CI) 管道中以进行静态安全扫描？

我想在 Jenkins 中自动化 Checkmarx 扫描。意味着它必须为每个构建触发新的扫描。

为此，我需要任何构建集成脚本吗？如果我这样做，我在哪里可以找到它们？

如果没有，您知道我该如何实现吗？

提前感谢您并感谢您的帮助。

使用 Checkmarx，这一页对“request.getParameterNames()”有多种用途，并被 Checkmarx 标记为“CGI_Reflected_XSS_All_Clients”（查询名称）。该页面是“error.jsp”，因此它是在我公司的多个应用程序中使用的通用页面。发生意外错误时会显示此页面。为什么这样？谁知道，最好不要显示它，而是将其注销。我对 Checkmarx 报告为易受攻击的修复代码非常陌生。

在使用 Checkmarx 扫描 ASP.net MVC 应用程序时，我经常看到堆检查漏洞。因此，我开始怀疑是否可以使用自定义模型绑定器或内置绑定器ByteArrayModelBinder将密码和其他敏感字符串保留在堆之外，以进行受控处理。我想出了以下解决方案，它通过字节数组发布和显示敏感数据，但我想知道这些数据是否仍然通过某个地方的字符串进入堆。（注：显示动作仅用于调试。）

视图模型

输入视图

控制器

显示视图

显示输出

* 更新 *

这表明在执行任何其他模型绑定器之前ByteArrayModelBinder或任何其他模型绑定器执行之前，表单参数都存储在字符串数组中，因此容易受到堆检查。

* 更新 2 *

如果您查看 Microsoft 的 NetworkCredential 实现，您会注意到即使 Password 属性是一个字符串，但 SecureString 在下面用于存储。

我在詹金斯有一个要求。目前，我已经制作了一个管道项目的功能分支，并在 Jenkins 服务器上进行了构建。构建后，我将源代码和构建结果 rpm 添加到 Jenkins UI 上的工件中。在此之后，我将触发一个下游 checkmark 项目，该项目将复制源代码并在 checkmarx 上进行静态代码分析，然后在 Jenkins 上显示结果。现在我想对 Master 分支和 master 的所有未来功能分支做同样的事情。这就是我需要帮助的地方。

目前（见图）我已经添加了这个 checkmarx 项目来从上游项目的工件中复制源代码，然后触发 checkmarx 分析。我应该如何添加主分支以及可能由不同开发人员创建的所有未来分支也能够触发这个下游 checkmarx 项目。有没有办法在“项目名称”部分指定它？

我正在尝试在 Jenkins 的后期构建部分运行 Checkmarx Scan。
在我的詹金斯工作中，步骤是 -->
1st) 从 SVN Connection 获取源代码到 Checkmarx 是成功的。
2nd) 使用 Maven 构建代码 --- 第 1 步和第 2 步是成功的。
但是由于第 3 步，即运行 jenkins Build 时的 CxSAST 扫描，出现错误，例如 -
[Checkmarx] - [info] - No files to zip
ERROR: Checkmarx Scan Failed: No files to scan

我们必须在哪里配置 - Checkmarx 是什么源文件将作为 Jenkins Build 的一部分进行扫描？
或者我们可以在 Jenkins 的 CxSAST 插件中上传源代码 zip ..以便 checkmarx 可以在构建后运行扫描。

附上作业配置屏幕排序。
有人请指导如何解决这个问题。谢谢！

该声明被 Checkmarx 正确地标记为可能的 LDAP_Injection。

使用 ESAPI 编码器，我希望这可以解决问题：

但 Checkmarx 仍将其标记为LDAP_Injection.

不知道如何正确解决这个问题。

谢谢托马斯

我在 Eclipse 中集成了 Checkmarks 插件。但是在我扫描项目时，出现了一个身份验证错误。你能帮我解决这个问题吗？

我对 Checkmarx 的一个问题感到震惊。

我的应用程序是用 C# 编码在 WPF 中构建的。下面是 PasswordBox 的 XAML

这用于根据 Active Directory 检查用户，我正在使用以下代码进行身份验证

该应用程序运行良好，但是当我使用 Checkmarx 扫描它时，我得到了下面的 Heap_Inspection 问题。

> \Test1\MainWindow.xaml 的第 19 行的方法 VerticalAlignment="Top"/> 定义了 pwdPassword，它被指定包含用户密码。然而，虽然明文密码后来被分配给 pwdPassword，但这个变量永远不会从内存中清除。

完成后，我已将 pwdPassword 设置为 null，但出现错误。我还使用了下面的 finally 块来收集垃圾

有人可以帮助我如何从内存中清除它。

非常感激。

----------********************* 进一步的进展 ****************-- ------------

我进行了以下更改，并假设普通密码未保存到变量但尚未成功

Xaml 已更改为

PasswordChanged 后面的代码如下

登录按钮有以下代码

尽管如此，我得到了同样的错误。有人可以仔细检查并帮助我找到我遗漏的任何东西，如果我在的话。

任何帮助都感激不尽。

最新更新：2017 年 7 月 12 日

我已将问题归零为根本原因。

我创建了一个只有 PasswordBox 的 WPF（后面没有代码），并针对 CheckMarx 进行了扫描，得到了同样的错误（请找到附图。）