HP Fortify Règles pour le cadre de tapisserie

Question

J'aimerais utiliser HP FORTIFY pour analyser un projet Web-GUI mis en œuvre avec le Tapestry framework. Pour tester, si FORTIFY est capable de trouver des vulnérabilités dans un projet de tapisserie, j'ai créé un projet vulnérable et le numérisé. Le projet contenait une vulnérabilité réfléchie XSS dans un fichier .TML:

<t:Form t:id="testXSSForm">
    <t:label for="testinputfield" />
    <t:TextField t:id="testinputfield" t:value="testInput" />
    <input type="submit" value="submit" />
</t:Form>
<p>
    Your input is <t:OutputRaw t:value="testInput"/>
</p>

(voir l'exemple plus détaillé à http: / /www.disasterarea.co.uk/blog/XSS-vulnérabilités-in-web-frameworks-2/ )
La vulnérabilité n'a pas été trouvée par Fortify et je pense, fortifier ne comprend pas le cadre spécifique des fichiers .TML.
Je pense qu'il serait possible de créer une règle de configuration pour ce cas spécifique et de signaler toutes les occurrences de «T: de versementraw» comme potentiellement dangereuse, mais je pense que la bonne manière consisterait à créer une règle de données pour l'INTERPORD et une règle de DataSink pour le champ de sortieRaw.
Comment puis je faire ça? Est-il possible de créer des règles Dataflow pour les fichiers .TML de Tapestry en général?

Answer 1

Fortify Support stipule que la tapisserie actuellement n'est pas prise en charge.Il n'est pas possible de créer des règles (utiles) pour les fichiers .TML jusqu'à ce qu'un analyseur pour ces fichiers aient été fournis par HP FORTIFY et celui-ci n'est pas planifié dans le moment.