问题标签 [find-sec-bugs]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

25 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
907 浏览

java - 查找安全漏洞 - 真正的 SQL 注入还是误报?

我正在使用FindBug该插件Find Security Bugs来帮助我找到代码中的安全漏洞。我不确定为什么某些代码被标记为易受 SQL 注入攻击。

这里有两个例子:

这是误报还是我错过了什么?如果我理解正确,使用createQuery()andsetX()应该就足够了吗?

0 投票
1 回答
654 浏览

java - 发现安全漏洞不扫描 groovy 文件

在我们的项目中,我们同时使用 Groovy 和 Java 类。我们使用 find-sec-bugs 插件 1.4.3 和 FindBugs 3.0.1 来扫描源代码。

插件不会报告来自 Groovy 类的安全错误。Java 类被正确扫描。项目页面清楚地表明该插件可与 Groovy 一起使用。

对于这个测试,我复制了以下易受攻击的代码,编译了源代码,并对其进行了扫描。

我错过了一些配置吗?

0 投票
1 回答
431 浏览

findbugs - 如何为 find sec bug 插件编写自定义检测器?

如何为 find sec bug 插件编写自定义检测器?如果有人编写一个样本检测器来检测单词的使用,那将会很有帮助。提前致谢

0 投票
1 回答
613 浏览

java - 无法初始化类 com.h3xstream.findsecbugs.taintanalysis.TaintMethodSummary

我正在使用 FindBugs-IDEA 1.0.0 和 FindBugs 3.0.1。我的 Android Studio 版本是 2.1.2。

如果这很重要,我只使用 FindBugs 分析 1 个单个 Java 文件(一个片段)

完整的堆栈跟踪:

0 投票
0 回答
63 浏览

maven - 如何配置 maven findbugs 报告插件以将错误模式链接到正确的站点?

我使用 Findbugs Maven 插件为我的项目生成报告,提供 Findbugs 发现的问题的摘要。我还使用诸如查找安全错误插件之类的插件来查找其他潜在问题。

当我查看生成的站点时(可以在此处找到示例),它具有指向该站点的链接,其中讨论了有关它已标记的错误模式的详细信息。但是,当我单击 findbugs 插件中的错误模式链接时,例如“查找安全错误”,它会将我带到 findbugs 网站而不是插件的网站。

是否有一个配置选项,我可以指定插件的模式可以在特定网页上找到?

0 投票
2 回答
736 浏览

sql-injection - 来自 find-sec-bugs 的 SQL 注入误报

我们使用find-sec-bugs和 findbugs 来查找代码中的潜在问题。我们使用 Spring JDBCTemplate 进行数据库访问,并且find-sec-bugs似乎认为我们到处都有 SQL 注入漏洞。最简单的例子如下:

这导致它认为它容易受到 SQL 注入的影响,但显然不是(如果我错了,请纠正我)。

如果我将字符串直接复制并粘贴到这样的方法中:

然后它认为它很好。我喜欢在课堂顶部定义 SQL,而不是埋在每个方法中。我真的不想@SuppressFBWarnings到处添加,因为这几乎违背了目的。

有没有更好的方法来解决这个问题?我们正在做的事情真的有问题吗?

0 投票
1 回答
283 浏览

java - 如何删除 Findbugs 的“污点”“查找安全漏洞”

我正在使用 Findbugs 的“查找安全漏洞”插件:https ://find-sec-bugs.github.io/

许多检测器使用“污染分析”来发出警告。

是否有关于如何从值中删除“污点”的文档?

我在他们的网站上找不到任何关于此的文档,而且我一直在寻找他们的源代码并且无法弄清楚:

该工具正在从以下代码中识别可能的注入错误:

我已经修复了这个错误,令我满意:

...但该工具仍在标记可能的错误。我相信这是因为它没有将“ com.google.common.net.UrlEscapers.urlPathSegmentEscaper()”识别为在这里删除 Taint。

否则我该如何说服它?如果我不能,我可以在这里使用哪些工具可以识别的消毒技术?

0 投票
1 回答
2073 浏览

java - 如何在 spotbug 报告中标记误报

我浏览了 spotbug https://spotbugs.readthedocs.io/en/stable/的文档

然而,关于误报的信息并不全面。

请帮助我将某些错误报告为误报的步骤,以便这些错误不再是报告的一部分。

PS - 在我们的案例中不能使用 SuppressFBWarnings。

0 投票
1 回答
108 浏览

security - Workfusion 代码是否有任何 SAST 工具?

目前,我参与了一个为 Workfusion 机器人实施安全代码审查的项目。Workfusion 可以处理嵌入在 XML 文件或独立代码中的 Java 和 Groovy 代码的混合。

我的团队正在尝试评估是否可以为此使用任何免费/开源的静态应用程序安全工具。我目前正在探索为 Spotbugs 创建插件的可能性。

我能够使用带有 Spotbugs 和 FindSecBugs 插件的 Java 代码 + Maven 成功运行评论,但我还没有弄清楚如何扩展 Spotbugs 以解析 XML 文件、提取嵌入的 Groovy 脚本并分析它们。

您是否知道 Workfusion 的任何静态应用程序安全工具,或者可以建议任何方法来扩展任何其他 SAST 工具?

0 投票
0 回答
127 浏览

java - 通过污点分析和自定义注释检测 Find Sec Bugs 中的信息泄漏

Find Sec Bugs 是否允许通过注释定义敏感的源和接收器,就像 Checker Framework 等其他静态分析工具一样?现在我只看到在配置文件中定义了源/接收器,如下所示:https ://github.com/find-sec-bugs/find-sec-bugs/blob/99814871f33ca0484b975f2fe51bae2bc1bcf40a/plugin/src/main/resources/taint-配置/污点敏感数据.txt

Checker 框架有一个 @Tainted 和 @Untainted 注释,可以在整个代码中通用(https://checkerframework.org/manual/#tainting-many-uses

您还可以创建自定义注释,文档显示了如何将其应用于信息泄漏案例(https://checkerframework.org/manual/#subtyping-example

结果它会吐出类似的东西:

Find Sec Bugs 中有类似的东西吗?谢谢!


12345678910