قواعد حصانة HP لإطار نسيج
https://stackoverflow.com//questions/23063818
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أود استخدام HP Fortify لمسح مشروع ويب واجهة المستخدم الرسومية المنفذة مع Tapestry الإطار. لاختبار، إذا كان التحصين قادر على العثور على نقاط الضعف في مشروع نسيج النسيج، فقد أنشأت مشروعا ضعيفا ومضوحاها. يحتوي المشروع على مشكلة عدم حصانة XSS تعكس في ملف .tml:
giveacodicetagpre. (انظر المثال التفصيلي على http: / /www.disasterarea.co.uk/blog/xss-vulenerabilities-in-web-frameworks-2 / )
لم يتم العثور على الثغرة الأمنية من خلال تحصين وأعتقد أن Fortify لا يفهم إطار الملفات المحددة الإطارية على الإطلاق.
أعتقد أنه سيكون من الممكن إنشاء قاعدة تكوين لهذه الحالة المحددة وعلم جميع نشطات "T: Outputraw" كأعيدة محتملة، لكنني أعتقد أن الطريقة الصحيحة ستتألف من إنشاء قاعدة بيانات من أجل Inputform وقاعدة بيانات DataSink حقل الإخراج.
كيف أقوم بذلك؟ هل من الممكن إنشاء قواعد Dataflow لملفات .tml من النسيج بشكل عام؟
المحلول
تحصين الدعم ينص على أن Tapestry حاليا غير مدعوم.ليس من الممكن إنشاء قواعد (مفيدة) لملفات .tml حتى يتم توفير محلل لتلك الملفات بواسطة HP Fortify وهذا ليس مخططا له في الوقت الحالي.
