fortify

1熱度

2回答

在我的J2EE/java代碼的一部分中，我對getRequestURI()的輸出進行了URLEncoding處理，以防止XSS攻擊，但Fortify SCA認爲這種驗證效果不佳。爲什麼？

4熱度

2回答

我們使用鞏固掃描Java源代碼&則抱怨以下錯誤： Method abc() sends unvalidated data to a web browser on line 200, which can result in the browser executing malicious code. 我們在下面的代碼就行200： <a href="<%= Util.getProduct(reque

0熱度

2回答

Fortify 360 - 添加'密碼'別名？

我在幾個非常大的項目上運行Fortify（2.6.5），但它沒有標出幾個關鍵問題，它確實必須這樣做。看起來好像Fortify對名爲'password'的變量進行了一些模式匹配，然後執行數據流分析。這很好，有助於確保隱私侵犯不會發生在敏感數據上，例如將它們寫入記錄器（在調試中）。這一切都很好，但我們有一些密碼通過其他變量名稱（如「憑證」）傳遞到系統中的情況，以及需要在相同級別嚴格處理的其他機密信息

1熱度

1回答

信任邊界破壞，同時結合了會話數據應用緩存

我有要求獲得應用程序緩存對象=>會話對象，修改它並使用它。雖然一切正常，但我正在接受Fortify的信任邊界違規威脅（更多信息）https://www.fortify.com/vulncat/en/vulncat/sql/trust_boundary_violation.html。有關如何解決此問題的任何想法？

1熱度

2回答

HP Fortify的360

在掃描Asp.Net項目得到了一個錯誤說訪問控制數據庫，它說「如果沒有適當的訪問控制，執行包含SQL語句用戶控制主鍵可以讓攻擊者查看未經授權的記錄。「儘管對輸入字段進行了適當的驗證，並且數據跨層移動，即前端（UI） - >業務層 - >數據層。是否有控制或數據庫的任何屬性設置，使問題能夠得到解決

1熱度

1回答

mvn sourceanalyzer插件未運行掃描

我正在使用maven與Fortify360插件來分析源代碼。 sca：translate步驟運行正常，並且似乎生成正確的sca-translate-java.txt文件，但sca：scan步驟實際上並未在任何子項目上運行掃描。我沒有給出理由，只是錯誤信息，如：分項目的 *跳過掃描我是新來加強。任何人都有這方面的經驗，並有一些想法，爲什麼它可以跳過掃描？謝謝！

2熱度

2回答

JPA的衝突Hibernate和Weblogic的

我試圖部署應用和Web服務使用以下版本到WebLogic：的Weblogic 10.3.5 的Hibernate 4.1.1 的Hibernate JPA API 2.0 EJB 2.0 的Java 6 當我打電話給我，我們b服務我得到錯誤 <S:Envelope xmlns:S="http://schemas.xmlsoap.org/soap/envelope/"> <S:Body>

2熱度

2回答

修復路徑操作錯誤

Fortify在進行新的文件（路徑）比較的行上給出了路徑操作錯誤。我正在使用Struts 2. 任何人可以告訴我如何解決這個問題，以便fortify不會給這個錯誤？ private boolean filePresent(String fileName) { if (fileName != null) { String path = getDirPath(); i

1熱度

1回答

Web檢查 - 強化安全範圍

是否有人使用HP WebInspect配置Fortify Security作用域？我已經使用Tomcat配置了安全範圍，但Webinspect仍未檢測到scurityscope代理。任何輸入？

2熱度

2回答

HP Fortify UI定製

可以修改Fortify Eclipse顏色模式嗎？我已經發現了一些文件，在此路徑 C:\Users\<user>\AppData\Local\Fortify\workspace\ ，看起來像使用Eclipse來定義代碼的顏色之一，但不能拿出一個辦法來成功修改。 UPDATE： Fortify版本爲「Audit Workbench 3.50」。它使用Eclipse代碼編輯器來顯示代碼，但它不是