HP Fortifica le regole per il quadro di tapestria
https://stackoverflow.com//questions/23063818
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Vorrei utilizzare HP Fortifica per eseguire la scansione di un progetto Web-GUI implementato con il arazzo quadro. Per testare, se fortificare è in grado di trovare vulnerabilità in un progetto di tappastry ho creato un progetto vulnerabile e lo scannerivo. Il progetto conteneva una vulnerabilità XSS riflessa in un file .TML:
<t:Form t:id="testXSSForm">
<t:label for="testinputfield" />
<t:TextField t:id="testinputfield" t:value="testInput" />
<input type="submit" value="submit" />
</t:Form>
<p>
Your input is <t:OutputRaw t:value="testInput"/>
</p>
(vedere un esempio più dettagliato su http: / /www.disasterirea.co.uk/blog/xss-Vulnerabilità-in-Web-Frameworks-2/ )
La vulnerabilità non è stata trovata da Fortifica e ritengo che Fortificare non capisca il quadro specifico dei file .tml.
Penso che sarebbe stato possibile creare una regola di configurazione per questo caso specifico e bandiera tutti gli accantonamenti di "t: outputraw" come potenzialmente non sicuro, ma ritengo che il modo corretto sarebbe consistere nella creazione di una regola DataSource per la regola di inputform e una regola del DataSink per il campo Outputraw.
Come posso fare ciò? È possibile creare regole di DataFlow per i file .tml-file di tapestria in generale?
Soluzione
Fortificare gli stati di supporto che Attualmente l'arazzo non è supportato.Non è possibile creare regole (utili) per i file .tml fino a quando un parser per tali file è stato fornito da HP Fortifica e questo non è pianificato nel momento.
