HP Tapestry Frameworkの規則を強化する
質問
HP Fortifyを使用して、 tapestry フレームワークで実装されたWeb-GUIプロジェクトをスキャンしたいと思います。テストするには、強化がTapestry-Projectで脆弱性を見つけることができると、脆弱なプロジェクトを作成してスキャンしました。 プロジェクトは、.tml-fileの反射XSSの脆弱性を含んでいました:
<t:Form t:id="testXSSForm">
<t:label for="testinputfield" />
<t:TextField t:id="testinputfield" t:value="testInput" />
<input type="submit" value="submit" />
</t:Form>
<p>
Your input is <t:OutputRaw t:value="testInput"/>
</p>
.
( http:/ /www.disasterarea.co.uk/blog/xss-vulnerAbilities-in-web-frameworks-
脆弱性が強化されていないと思われます。私は、Fortifyはフレームワーク固有の.tmlファイルをまったく理解していません。
この特定のケースの構成規則を作成し、「T:OutputRaw」のすべてが潜在的に危険にさらされているとフラグを立てることが可能であると思いますが、正しい方法では、入力フォームのデータソースルールとDataSinkルールのデータソースルールを作成することから成ります。 OUTPUTRAWフィールド。
どうやってやるの?一般的にTapestryの.tmlファイルのデータフロールールを作成することは可能ですか?
解決
強化サポート現在、Tapestryがサポートされていないと述べています。これらのファイルのパーサーがHP強化によって提供されるまで、.tmlファイルのルールを作成することはできません。これは現時点では計画されていません。
所属していません StackOverflow