Tapestry Framework에 대한 HP 요새화 규칙

Question

HP Fortify를 사용하여 tapestry 프레임 워크로 구현 된 Web-Gui-Project를 검사하고 싶습니다. 테스트를 위해 요새화가 태피스트리 프로젝트에서 취약점을 찾을 수있는 경우 취약한 프로젝트를 만들고 스캔했습니다. 프로젝트에는 .tml-file의 반영된 XSS 취약점이 포함되어 있습니다.

<t:Form t:id="testXSSForm">
    <t:label for="testinputfield" />
    <t:TextField t:id="testinputfield" t:value="testInput" />
    <input type="submit" value="submit" />
</t:Form>
<p>
    Your input is <t:OutputRaw t:value="testInput"/>
</p>

.

( http : / /www.disasterarea.co.uk/blog/xss-vulnerabilities-wweb-frameworks-2/a> )
이 취약점은 요새화에서 발견되지 않았으며, Fortify는 프레임 워크 특정 .TML 파일을 전혀 이해하지 못합니다.
나는이 특정 사례에 대한 구성 규칙을 작성하고 "T : OutputRAW"의 모든 발생을 잠재적으로 안전하지 않으므로 모든 발생을 할 수 있지만 올바른 방법이 입력 폼 및 DataSink 규칙에 대한 데이터 소스 규칙을 작성하는 것으로 생각된다고 생각합니다. OutputRAW 필드.

어떻게해야합니까? 일반적으로 tapestry의 .tml 파일에 대한 데이터 흐름 규칙을 만들 수 있습니까?

Answer 1

현재 태피스트리가 지원되지 않는다는 지원을 강화합니다.해당 파일의 파서가 HP Fortify에 의해 제공되었고 현재 계획되지 않은 경우 .tml 파일에 대한 .tml 파일에 대한 규칙을 작성하는 것은 불가능합니다.