HP Fortify Reglas para el marco del tapiz
https://stackoverflow.com//questions/23063818
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Me gustaría usar HP Fortify para escanear un proyecto web-GUI implementado con el Tapestry Framework. Para probar, si Fortify es capaz de encontrar vulnerabilidades en un proyecto de tapicería, creé un proyecto vulnerable y lo escaneó. El proyecto contenía una vulnerabilidad XSS reflejada en un archivo .tml:
<t:Form t:id="testXSSForm">
<t:label for="testinputfield" />
<t:TextField t:id="testinputfield" t:value="testInput" />
<input type="submit" value="submit" />
</t:Form>
<p>
Your input is <t:OutputRaw t:value="testInput"/>
</p>
(Vea el ejemplo más detallado en http: / /www.DisasterArea.es-UK/blog/xs-vulnerabilities-in-web-frameworks-2/ )
La vulnerabilidad no fue encontrada por Fortify y creo, Fortify no entiende los archivos .TML específicos del marco en absoluto.
Creo que sería posible crear una regla de configuración para este caso específico y marcar todas las ocurrencias de "T: Outputraw" como potencialmente inseguro, pero creo que la forma correcta consistiría en crear una regla de DataSource para el ingreso y una regla de DataSink para El campo de Salida.
¿Cómo puedo hacer eso? ¿Es posible crear reglas de flujo de datos para los archivos .tml-fiches de tapest en general?
Solución
Fortify Support States que actualmente no es compatible con el tapiz.No es posible crear reglas (útiles) para los archivos .TML hasta que HP Fortify ha proporcionado un analizador para esos archivos.
