问题标签 [fortify]

我有用 C# Visual Studio 2013 编写的 web api 2，但我找不到它的强化 sca 插件。有没有人遇到过同样的问题？

Fority Scan 在以下代码段中报告了“路径操作”安全问题

所以我正在检查 fileLocation 中的黑名单字符并抛出异常，但 Fortify 仍在抛出异常。

我应该忽略扫描报告还是对此有什么正确的解决方法？

这些天，我有一个简单的 C# 项目，通过 fortify 扫描报告存在安全风险。该项目基于 .NET Windows 窗体应用程序。这种风险的名称是Unreleased Resource: Unmanaged Object(unmanaged_object)。

例如，如果我想通过将工具箱上的控制器图形拖放到表单设计中来构造标签控制器。然后修改字体大小会Form1.Designer自动更改代码。例如，它将生成以下代码：

this.label1.font = new System.Drawing.Font(...)

关键是我们通过构造函数声明了一个 Font 对象System.Drawing.Font(...)。但是我们不处置这个对象？那么，我们该如何规避这种风险呢？

ps，如果我们在文件中更改由visual studio生成的区域的代码Form1.Designer。然后我们甚至不能再编辑表单了~（因为控制器的任何设置（例如改变foreColor底部的属性）都会改变这部分文件中的代码）。

此外，我们不希望在初始化方法中创建每个控制器。有没有人有解决这个问题的好方法？非常感谢！！

我正在尝试在 Ubuntu 12.04 LTS 版本上运行 HP Fortify 3.7.0。我不认为它是官方支持的，但我发现这个链接表明另一个用户得到了 3.8.0 的工作，所以我想我会尝试：http ://www.greebo.net/2013/02/28/运行-fortify-sca-3-80-on-ubuntu-12-04-64-bit-linux/

安装似乎很顺利。

我安装了 Oracle Java 7.0.51 作为我的默认 Java。

当我运行 Audit Workbench 时，我会选择我的项目并盯着扫描并得到错误：

SCA 命令行调用失败，启动 java 失败：没有这样的文件或目录

当我从命令行运行 sourceanalyzer 时，我得到：

启动java失败：没有这样的文件或目录

我尝试在 /opt/HP_Fortify/HP_Fortify_SCA_and_Apps_3.70/Core/private-bin/awb/productlaunch 中更改 java 的路径，就像上面提到的博客的作者所做的那样，但这并没有解决问题。有什么建议么？

当我对我的项目 JSP 页面进行强化扫描时，Fortify 抱怨更多 XSS 问题以修复页面。它在抱怨大多数地方，例如：<c:out>陈述。我尝试使用函数 escapeXml ，<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>但这${fn:escapeXml(path)}是按原样打印整个文本。

实际上，我的 JSP 中有如下代码。我想修复<C:out value="${cdt}"/>标签的 XSS 漏洞。

有没有办法修复<c:out>标签中的 XSS 漏洞？

当我使用 fortify 进行扫描时，我在下面的代码中发现了 5 个漏洞，例如“经常被滥用：身份验证”。为此，我们是否有任何解决方法来避免此问题。

当我们将.getLocalHost()防御工事称为问题时。

Fortify 扫描将此以下错误视为严重错误。有人可以帮忙吗？

switchcontent.loadpage=function(page_request, header){ var innercontent=document.getElementById(header.id.replace("-title", "")) //引用这个header的内容容器 innercontent.innerHTML=switchcontent_ajax_msg //显示 "获取页面消息” if (page_request.readyState == 4 && (page_request.status==200 || window.location.href.indexOf("http")==-1)){ innercontent.innerHTML=page_request.responseText 标头。 ajaxstatus="加载" } }

修复此代码以避免 XSS 需要进行哪些更改？任何帮助是极大的赞赏。谢谢你。

运行 Fortify Audit Workbench 时出现以下错误。在哪里可以看到警告和错误的完整列表。

现有问题的 .NET 版本我可以在 .jar 文件而不是 .java 上运行 fortify 吗？

我的团队正在使用 Fortify 5.15.0.0060。我们正在 Visual Studio 中扫描 .NET 项目，项目设置显示以下命令行参数：

这突出了我们的 .cs 源代码文件中的问题，但似乎没有查看构成我们解决方案一部分的 DLL（并且它们与我们的二进制文件一起复制到我们的输出目录）。对于其中许多库，我们无法访问 .pdb 文件，但希望 Fortify 无论如何都能够进行有限的扫描。

是否可以添加命令行参数以包含 DLL 文件，有/没有 PDB 文件？

我想使用 HP Fortify 扫描使用Tapestry框架实现的 web-gui-project。为了测试，如果 Fortify 能够在 Tapestry 项目中找到漏洞，我创建了一个易受攻击的项目并对其进行了扫描。该项目在 .tml 文件中包含一个反射的 XSS 漏洞：

（请参阅http://www.disasterarea.co.uk/blog/xss-vulnerabilities-in-web-frameworks-2/上的更详细示例）
Fortify 没有发现该漏洞，我认为，Fortify 不理解完全是特定于框架的 .tml 文件。
我认为可以为这种特定情况创建配置规则并将所有出现的“t：OutputRaw”标记为潜在不安全，但我认为正确的方法包括为输入表单创建数据源规则和为outputRaw 字段。
我怎样才能做到这一点？一般来说，是否可以为 Tapestry 的 .tml 文件创建数据流规则？