问题标签 [fortify]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
1918 浏览

asp.net - Fortify Insecure Redirect ... but redirecting to your self?

I've an ASP.NET web application project that I scan through the Fortify Source Analyzer v3.1.

The web project contains an ASPX that has a case where it redirects to itself.

The code is:

Fortify classifies that as OWASP A10 and CWE / SANS ID 601 issue. I don't understand the vulnerability -- it seems that we're redirecting to a very specific place ... the current URL.

Why is that considered bad?

Thanks in advance.

0 投票
1 回答
938 浏览

fortify - Webinspect-fortify 安全范围

是否有人使用 HP WebInspect 配置了 Fortify Security 范围?

我已经使用 Tomcat 配置了安全范围,但 Webinspect 仍然没有检测到 scurityscope 代理。

有什么输入吗?

0 投票
2 回答
7979 浏览

java - 如何修复 XSS 漏洞

我们正在使用 fortify 扫描 java 源代码,它抱怨以下错误:

我们在第 200 行有以下代码:

和 getProduct 方法中的 Util.java hsa 下面的代码:

谁能告诉我如何修复这个 XSS 漏洞?

谢谢!

0 投票
1 回答
5089 浏览

c# - 将应用程序缓存与会话数据结合时违反信任边界

我需要获取应用程序缓存对象 => 会话对象,对其进行修改并使用它。虽然一切正常,但我收到了来自 Fortify 的信任边界违规威胁(更多信息)https://www.fortify.com/vulncat/en/vulncat/sql/trust_boundary_violation.html

有想法该怎么解决这个吗?

0 投票
2 回答
9622 浏览

.net - 惠普强化 360 a

扫描 Asp.Net 项目时出现错误,提示访问控制数据库,

它说

“如果没有适当的访问控制,执行包含用户控制的主键的 SQL 语句可以让攻击者查看未经授权的记录。”

即使对输入字段进行了适当的验证并且数据跨层移动,即前端(UI)->业务层->数据层。

控件或数据库上是否有任何属性要设置以便解决问题

0 投票
2 回答
5158 浏览

java - URLEncoder.encode(string, "UTF-8") 是一个糟糕的验证吗?

在我的 J2EE/java 代码的一部分中,我对 的输出进行了 URLEncoding 以对其getRequestURI()进行清理以防止 XSS 攻击,但 Fortify SCA 认为验证很差。

为什么?

0 投票
2 回答
2116 浏览

fortify - Fortify 360 - Adding 'password' aliases?

I am running Fortify (2.6.5) on a few very large projects, but it is failing to flag a few key issues, which it really must. It seems as if Fortify does some pattern matching for variables named something like 'password', to then perform dataflow analysis. This is great, and helps ensure that privacy violations do not occur with such sensitive data, such as writing them to a logger (in debug).

This is all well and good, but we have cases of passwords being passed into the system through other variable names such as 'credential', as well as other confidential information that needs to be treated with the same level of strictness in handling, as Fortify does with variables containing the string 'password'!

Is there some easy way of adding to / configuring such a list of keywords so that Fortify acts upon them as it does 'password'?

0 投票
2 回答
2431 浏览

maven - mvn sourceanalyzer 插件未运行扫描

我正在使用带有 Fortify360 插件的 maven 来分析源代码。sca:translate 步骤运行良好,似乎生成了正确的 sca-translate-java.txt 文件,但 sca:scan 步骤实际上并未对任何子项目运行扫描。

我没有给出任何理由,只是错误消息,例如:

*跳过子项目的扫描

我是 Fortify 的新手。任何人都有这方面的经验,并且对为什么它可以跳过扫描有一些想法?

谢谢!

0 投票
2 回答
17906 浏览

java - 修复路径操作错误

Fortify 在进行新文件(路径)比较的线路上给出路径操作错误。我正在使用 Struts 2。

谁能告诉我如何解决这个问题,以便 fortify 不会给出这个错误?

我需要查看该文件是否存在于我们的 Web 服务器中,因此我将文件名作为参数传递,从 web.xml 获取整个目录路径,将其附加到文件名中,然后组合路径并检查它针对 File 对象查看它是否存在。

0 投票
2 回答
16081 浏览

hibernate - JPA 与 Hibernate 和 Weblogic 冲突

我正在尝试使用以下版本将我的应用程序和 Web 服务部署到 weblogic:

  • 网络逻辑 10.3.5
  • 休眠 4.1.1
  • 休眠 JPA API 2.0
  • EJB 2.0
  • 爪哇 6

当我调用我的网络服务时,我得到了错误

我已经检查过,没有包含其他持久性 api jar。

我的外部 jar 列表是:

  • ant-jakarta-oro-1.6.jar
  • antlr-2.7.2.jar
  • aspectjrt-1.5.3.jar
  • cactus.core.framework.uberjar.javaEE.14-1.8.1.jar
  • cactus.integration.maven2-1.8.1.jar
  • commons-beanutils-1.8.0.jar
  • commons-chain-1.2.jar
  • commons-codec-1.3.jar
  • commons-collections-3.2.1.jar
  • commons-digester-1.8.jar
  • commons-fileupload-1.1.1.jar
  • commons-httpclient-2.0-rc2.jar
  • commons-lang3-3.0.1.jar
  • commons-logging-1.1.1.jar
  • commons-validator-1.3.1.jar
  • dom4j-1.6.1.jar
  • generic-web-service-schema-4.0.jar
  • hibernate-commons-annotations-4.0.1.Final.jar
  • hibernate-core-4.1.1.Final.jar
  • hibernate-jpa-2.0-api-1.0.1.Final.jar
  • httpunit-1.6.jar
  • javassist-3.15.0-GA.jar
  • jboss-logging-3.1.0.GA.jar
  • jboss-transaction-api_1.1_spec-1.0.0.Final.jar
  • js-1.5R4.1.jar
  • jstl-1.0.2.jar
  • jtidy-4aug2000r7-dev.jar
  • junit-3.8.2.jar
  • nekohtml-1.9.6.jar
  • oracle.webservices.standalone.client-11.1.1.jar
  • oro-2.0.8.jar
  • 标准 1.0.6.jar
  • struts-core-1.3.10.jar
  • struts-el-1.3.10.jar
  • struts-taglib-1.3.10.jar
  • struts-tiles-1.3.10.jar
  • weblogic-webservices-api-1.1.0.0.jar
  • xercesImpl-2.8.1.jar
  • xml-apis-1.3.03.jar
  • xmlParserAPIs-2.2.1.jar

我已经检查了这些,Hibernate JPA 是唯一具有 OneToMany 类的。我知道问题是 JPA 1.0 和 JPA 2.0 之间的冲突,所以我只想知道是否有解决冲突的方法。

谢谢