问题标签 [checkmarx]

我可以在下面的代码片段的帮助下使用 JasperReports 以所需的输出格式生成 PDF。

但是，当我使用 checkmarx 扫描我的代码时，它显示了下面代码片段的反射 XSS 漏洞，为了解决这个问题，我使用了所有输入参数， HtmlUtils.htmlEscape但仍然面临同样的问题。

我从我的最后进一步分析并尝试对整个文件进行消毒byte[]，但它以某种方式损坏了 PDF 格式，并且用户没有得到 pdf 响应。

在这里寻求帮助。不胜感激任何指针。提前致谢。

我对为什么 checkmarx 将以下公共属性Password标记为 Heap Inspection 类型的中等漏洞有点困惑。

知道为什么 checkmarx 将此行标记为漏洞吗？下面的代码有什么建议/改进想法吗？

我收到了一个 checkmarx HIGH 漏洞问题 SQL 注入。

要求是用户可以在文本区域中插入任何 SQL 查询，单击提交时，此查询通过请求有效负载和服务器端，它使用请求正文注释通过层传递。

漏洞 1 :- 说这个请求没有被清理。

漏洞2：-第二个地方是我使用Statement对象为sql查询执行executeUpdate，因为我不能使用PreparedStatement，没有可用的动态参数。它在文本区域中的任何查询都将直接执行。

我已经尝试过 HtmlUtils.htmlEscape(sqlQuery) 和 StringEscapeUtils 但无法解决漏洞。

要求是这样的，只是我必须为用户提供文本区域以放置查询，以便服务器可以获取并直接执行它。

有什么建议吗？怎么解决！！谢谢

在这里，我在该List<Data> dataList = jdbcTemplate.query位置遇到错误。

Checkmarx 说：

AppServices/src/main/java/com/mbusa/app/dao/impl/AppRequestDAOImpl.java 从数据库中获取数据，用于查询元素。然后，该元素的值在未经适当过滤或编码的情况下流经代码，并最终在 AppWeb/src/main/java/com/mbusa/app/controllers/AppRequestController.java 的第 117 行的 getRequestDetail 方法中显示给用户。这可能会启用存储的跨站点脚本攻击。

我已PreparedStatement在此处添加以解决此问题，并尝试添加HtmlUtil.htmlEscape输出数据，但仍无法解决此问题。

任何人都可以帮助解决这个问题吗？

我是使用 Checkmarx 工具的新手，通常只检查代码中的安全漏洞。我有一个应该从输入流中读取的方法。该方法有效，但是我收到 XXE 和 SSRF 错误。

CheckMarx report throws The application stores sensitive personal data Write on the client, in an insecure manner

Code

I am getting this error on streamWriter.Write(result);.

Error message is: The application stores sensitive personal data Write on the client, in an insecure manner.

我已经构建了一个 ASP.NET WebAPI 2 应用程序，并且我的一个控制器有一个允许用户登录的方法，如下所示：

LoginDto 类：

在使用 Checkmarx 工具进行漏洞检查后，我收到了一份报告，上面写着：

/ /***/Controllers/AccountController.cs的第55行的方法索引 定义了UserPassword，它被指定包含用户密码。但是，虽然后来将明文密码分配给 UserPassword，但此变量永远不会从内存中清除。

我知道字符串是不可变的，并且会在内存中保留一段不确定的时间。

该工具（checkmarx）有一个建议说：

具体建议 - .NET：

- 与其将密码存储在不可变的字符串中，不如使用加密的内存对象，例如 SecureString 或 ProtectedData。

我发现其他建议也说我使用SecureString而不是字符串来操作/存储用户密码，但我认为这仅适用于 MVC 或 WPF 应用程序，我不知道如何在 ASP.NET WebAPI 上应用它2 上下文，我必须在其中公开与语言无关的服务。

任何人对我如何在 ASP.NET WebAPI 2 上实现这种安全级别（或者即使可能）有任何建议？

我的休息服务从 UI 中获取“ids”参数。我的控制器如下

我在我的应用程序上运行了 Checkmarx，它突出显示了“ids”，并报告说它容易受到 XSS 和其他 HTML 注入攻击。

我的代码在内部使用entityManager.delete(id). 我不确定这是否安全，或者我如何解释这是否安全。

Sonarqube 版本 6.7 和 Checkmarx SonarQube 插件 8.60.0 是否存在兼容性问题？

我们成功地将 Checkmarx 8.41 与 Sonarqube 4.5.7 一起使用，没有任何问题。但是自从我们的环境升级到 Sonarqube 6.7.2（构建 37468）和 Checkmarx 插件 8.60.0 后，Chcekmarx 身份验证在 Sonarqube UI（管理 > Checkmarx -> Checkmarx 配置）中失败，相同的凭据在 Checkmarx Web 控制台中工作正常。

我正在尝试对我的代码进行 checkmarx 扫描。但是我遇到了这个错误：这个元素的值然后在没有经过适当的清理或验证的情况下流过代码，并最终在方法中显示给用户。然后在第 145 行........这可能会启用交叉站点脚本攻击。

我正在使用 express js，其中有一种方法可以接受来自服务器的请求和响应。

函数方法1（请求，响应）{

常量参数 = request.query ; ------> 这一行给出了一个漏洞

}

请帮我尽快解决这个问题。已经搜索了解决方案，但只有与 java 或 .net 相关的解决方案。我需要 node/express js 的解决方案。

提前致谢