问题标签 [fortify]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - EnableHeaderChecking=true 是否足以防止 Http Header 注入攻击?
将 [ System.Web.Configuration.HttpRuntimeSection.EnableHeaderChecking]( http://msdn.microsoft.com/en-us/library/system.web.configuration.httpruntimesection.enableheaderchecking(VS.85).aspx)设置为true(默认)是否足以完全阻止 Http响应拆分等标头注入攻击?
我问是因为白盒渗透测试工具(强化)报告了可利用的 http 标头注入问题HttpResponse.Redirect和 cookie,但我还没有找到成功执行攻击的方法。(编辑:..我们启用了EnableHeaderChecking ..)
java - Fortify 源分析器和 Apache Lenya
我正在尝试将 Fortify 源代码分析器用于我学校的一个研究项目,以测试开源 Java Web 应用程序的安全性。我目前正在研究 Apache Lenya。我正在使用最后一个稳定版本(Lenya v2.0.2)。
在根目录中有一个名为build.sh. 调用此文件以使用发行版附带的 Ant 版本(在tools/bin文件夹中)构建 Lenya。当我运行时,我可以很好地构建 Lenya ./build.sh。因此,假设在 Fortify 中运行以下命令会起作用:
但是,当我尝试运行时:
我得到:
未找到构建 ID Lenya。
我查看了buid.sh文件并注意到它只是重置当前的 ant home、类路径和 ant 选项变量,运行 ant build 命令,并将值重置为默认值。所以我手动重置所有变量(没有脚本)而不是运行脚本并运行:
然后我跑了:
但我得到了同样的错误。我不确定这是因为我做错了什么,还是 Fortify 做错了什么。任何见解都会很棒。
maven-2 - Fortify Sourceanalyzer - 分析 XWiki 时缺少 java 类
缺少的课程是com.xpn.xwiki.test.AbstractXWikiComponentTestCase. 这是唯一无法解决的类。我跑了:
mvn包
然后我尝试使用 sourceanalyzer 构建,这是唯一找不到的类。我不明白为什么 mvn package 不会为我得到这个。
asp-classic - 有人使用经典 ASP 的 Fortify 360 吗?Header Manipulation 漏洞案例
我正在从事短期合同工作,试图修补他们遗留代码中的一些漏洞。我正在开发的应用程序是 Classic ASP (VBScript) 和 .Net 2.0 (C#) 的组合。他们购买的工具之一是 Fortify 360。
这是应用程序中当前的经典 ASP 页面:
我知道,我知道,很短而且很危险。
所以我们编写了一些(en/de)编码器和验证/验证例程:
并且 Fortify 仍然将其标记为易受 Header Manipulation 的影响。Fortify 究竟在寻找什么?
我怀疑 Fortify 正在寻找特定关键字的原因是,在 .Net 方面,我可以包含 Microsoft AntiXss 程序集并调用诸如GetSafeHtmlFragment和之类的函数,UrlEncode并且 Fortify 很高兴。
有什么建议吗?
hudson - 在 Hudson 中执行命令作为构建后操作
我是哈德逊的新人。我想在 Hudson 中执行“sourcecodeanalyzer”命令作为构建后操作来生成 html 报告。请让我知道这是否可能,如果是,请告诉我执行命令的 Hudson 配置步骤。
您在这方面的最早回应将非常有帮助。
提前致谢。
fortify - 如何跳过强化源代码分析器报告的选定错误?
如果我想跳过选定的类别,在通过 fortify 源代码分析器分析源代码时说“糟糕的错误处理:空 Catch 块” - 有什么办法吗?在 checkstyle 报告生成器的情况下,有一种方法可以跳过报告的选定错误。在强化源代码分析器的情况下,我希望具有这种灵活性。
c# - Fortify 和 AntiXSS
我的公司要求我们的 ASP.NET 代码在发布代码之前通过 Fortify 360 扫描。我们在任何地方都使用 AntiXSS 来清理 HTML 输出。我们还验证输入。不幸的是,他们最近更改了 Fortify 使用的“模板”,现在它将我们所有的 AntiXSS 调用标记为“验证不良”。这些调用正在执行诸如 AntiXSS.HTMLEncode(sEmailAddress) 之类的操作。
任何人都确切地知道什么会满足 Fortify?它标记的很多内容都是输出值来自数据库,而根本不是来自用户,所以如果 HTMLEncode 不够安全,我们不知道是什么!
tsql - 如何使用 Fortify 分析 T-SQL
sourceanalyzer -b ID ttt.sql(无错误) sourceanalyzer -b ID -scan -f result.fpr(无错误)
但是当我使用 Fortify Audit Workbench 打开 result.fpr 文件时,问题中没有任何内容(没有热,没有警告,没有信息)。我错过了 sourceanalyzer 命令中的任何参数吗?
c++ - Fortify 在扫描 Visual Studio 项目时抛出错误
我正在尝试在 Visual Studio 2008 项目上运行 Fortify。该项目自行成功构建。当我尝试使用 Visual Studio 集成控件使用 Fortify 分析项目时,项目成功构建,但抛出错误消息。这是 Fortify 控制台的输出:
当我从独立的 Audit Workbench 运行 Fortify 时,我收到以下错误消息:
除了将“这是一个 J2EE Web 应用程序”更改为“否”之外,我保留了大部分默认扫描选项(我也尝试将其保留为“是”,但这也不起作用。
搜索有关错误消息的任何信息只会在 Stack Overflow 上产生另一个问题,但项目设置似乎与我的 Visual Studio 项目完全不同。无论如何,我也尝试使用 Visual Studio 提供的参数从命令行运行扫描,但我收到相同的错误消息。
Fortify 文档提到构建 ID 用于跟踪哪些文件作为构建的一部分被编译和链接,然后扫描这些文件,它通常是项目名称。我尝试了一些不同的字符串作为构建 ID,但似乎没有任何效果。
有人知道我哪里出错了吗?提前致谢。
更新:问题发生在分析的翻译阶段,由于根本没有创建构建 ID。以下是 sourceanalyzer 日志中的日志:
cruisecontrol.net - Fortify360 具有自动构建过程?
任何人有任何使用 CruiseControl.net 或类似工具的示例配置吗?