问题标签 [checkmarx]

Checkmarx 抱怨有一个未经验证的数据库输出。一般如何验证数据库输出？

亲爱的 stackoverflow 社区；

我使用：SonarQube 6.7.6 和 Checkmarx 插件：8.60.0

我需要在安全分析期间使用 Checkmarx 信息在 SonarQube 中配置我的项目，以便在 SonarQube 分析步骤中，它可以检索它们并使用所有 Checkmarx 分析数据填充项目。

如为 Checkmarx SonarQube 插件配置项目中所述。

我可以手动完成，但最好是我的管道自动完成。例如，我如何通过 Rest Api 在 SonarQube 分析（服务器网址、用户名、密码等）之前设置此项目配置，或使用一些分析属性，以便可以自动获取它们。

我在 SonarQube 上找不到 Rest Api 来做到这一点。

谁能帮我 ？

非常感谢。沃宁

对于用户输入，我使用@path 变量传递值。当 checkmarx 验证我的代码时给出 SQL 注入错误。

我尝试过添加空检查并使用正则表达式，但这些都没有奏效。

这里从表格元素获取用户输入。然后，该元素的值在没有经过适当清理或验证的情况下流经代码，最终在方法 getPK 中的数据库查询中使用。他可能会启用 SQL 注入攻击。这是我收到的错误消息。

我正在开发一个 VC++ MFC 项目。现在它使用 checkmarx 扫描。它在报告中显示了一个过程控制问题，如下所示。

Host Tools/ICC/_DEV/ICC.CPlusPlus/globalProcess.cpp 的第 134 行的方法 delayHook 加载一个库，其名称或位置受“Test.dll”元素中客户端输入的影响。然后，该元素的值在 Host Tools/ICC/_DEV/ICC.CPlusPlus/globalProcess.cpp 的第 134 行的 delayHook 中流经代码而没有经过适当验证。从不受信任的来源或在不受信任的环境中执行命令或加载库可能会导致应用程序执行恶意命令。

这是导致问题的代码。

谁能帮我解决这个checkmarx项目？由于我是 VC++ 新手，所以我没有正确理解它。

我从 checkmarx 报告中得到了以下提到的错误。

“异常记录不足”

但在我的代码中，我记录了大部分信息

用户名 发生时间错误 整个异常 错误方法行号 文件路径 服务 URL 所有这些东西，但我仍然面临这个问题。请帮我解决这个问题。我正在使用 Asp.net 核心 web api。

我正在尝试修复 checkmarx 工具扣除的漏洞。下面是与我目前正在处理的项目类似的示例代码，该项目在堆栈变量上引发内存泄漏和释放内存。

内存在被调用函数中分配，在 Main 函数中删除。

如果 sum 在 main 函数中分配，则不会有任何内存泄漏或堆栈变量上的内存空闲。但是我不能在我的实际代码中做同样的事情，它涉及一些其他变量来确定分配前指针变量的大小。

我该如何纠正这个漏洞？这些漏洞是否正确抛出？应该在同一个函数中分配和删除内存吗？

我有以下 C# 代码从 Checkmarx 收到“高”错误。我看不出有什么问题。

它给出了这个错误：

yyy文件中xxx处理的序列化对象ReadAllText被zzz文件中的DeserializeObject反序列化

C#代码如下：

我看不出文件中的任何内容都会导致任何类型的问题，尤其是 TypeNameHandling.None 设置。

我正在使用 Checkmarx 安全工具扫描我的代码，这是说当我对数据库执行 executeUpdate() 命令时，它是“不正确的资源访问授权”。

各种谷歌搜索没有成功。

Jenkins与Checkmarx. _

Checkmarx 版本：8.90.4

詹金斯版本：2.176.3

在配置系统中提供了 checkmarx URL 和凭据，但是当尝试使用测试连接进行连接时，它会抛出错误：

无法解析 json 响应：意外字符（'<'（代码 60））：在 [Source: (String) "

Checkmarx URL 可以从我的本地浏览器访问。

需要在测试连接期间获得成功。请提供解决方案

我正在尝试通过 Jenkins 文件配置 checkmarx，之前 checkmarx 脚本是从全局配置的 groovy 文件中读取的。

这就是我的 jenkinsfile 的样子

但是构建正在考虑从 jenkins-> 配置设置而不是服务完成的全局配置jenkinsfile

jenkinsfile我的或我在这里遗漏的任何东西是否有任何语法问题。