HP Festungsregeln für Tapisserrahmen
https://stackoverflow.com//questions/23063818
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich möchte HP anfärben, um ein Web-GUI-Projekt mit dem implementierten Web-GUI-Projekt mit dem Tapisry Framework zu scannen. Um zu testen, kann, wenn Festung Schwachstellen in einem Tapisserei-Projekt finden kann, das ich ein anfälliger Projekt erstellt und gescannt habe. Das Projekt enthielt eine reflektierte XSS-Anfälligkeit in einer .tml-Datei:
generasacodicetagpre. (siehe ein detaillierteres Beispiel bei http: / /www.disasterarea.co.uk/blog/xss-vulnerabilt-in-web-framework-2/ )
Die Sicherheitsanfälligkeit wurde nicht von Festung gefunden, und ich denke, verstärkt das rahmenspezifische .tml-Dateien überhaupt nicht.
Ich denke, es wäre möglich, eine Konfigurationsregel für diesen spezifischen Fall zu erstellen, und alle Auftreten von "T: OutputRAW" als potenziell unsicher, aber ich denke, der richtige Weg würde dazu führen, eine DataSource-Regel für die Eingabeform und eine Datask-Regel zu erstellen das Ausgangsbereich.
Wie kann ich das machen? Ist es möglich, DataFlow-Regeln für Tapsry-Tapsry-Dateien im Allgemeinen zu erstellen?
Lösung
FORIFY-Support besagt, dass derzeit Tapisdry nicht unterstützt wird.Es ist nicht möglich, (nützliche) Regeln für .TML-Dateien zu erstellen, bis ein Parser für diese Dateien von HP Festung bereitgestellt wurde, und dies ist im Moment nicht geplant.
