题
我想使用hp fortify来扫描与 tapestry 框架实现的Web-Gui-Project。要测试,如果Fortify能够在Tapestry-Project中找到漏洞,我创建了一个易受攻击的项目并扫描它。 该项目包含一个反映的XSS漏洞在.tml文件中:
<t:Form t:id="testXSSForm">
<t:label for="testinputfield" />
<t:TextField t:id="testinputfield" t:value="testInput" />
<input type="submit" value="submit" />
</t:Form>
<p>
Your input is <t:OutputRaw t:value="testInput"/>
</p>
.
(请参阅 http:/ / www.disasterarea.co.uk/blog/xss-vulnerabilities-in-web-frameworks-2/ )
Fortify找不到漏洞,我认为,Fortify并不了解特定于框架的框架文件。
我认为可以为此特定情况创建一个配置规则,并为潜在的不安全创建一个特定情况的配置规则,但是我认为正确的方法是创建输入格式的数据源规则和数据链路规则。 outputraw字段。
我怎样才能做到这一点?是否有可能通常可以为Tapestry的.tml文件创建数据流规则?
解决方案
强化支持状态,不支持目前挂毯。无法为.tml文件创建(有用)规则,直到HP fortify提供的解析器,并且在此时未计划。
不隶属于 StackOverflow