Regras do HP Fortify para estrutura Tapestry
https://stackoverflow.com//questions/23063818
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu gostaria de usar o HP Fortify para digitalizar um projeto web-gui implementado com o tapeçaria estrutura.Para testar se o Fortify consegue encontrar vulnerabilidades em um projeto de tapeçaria, criei um projeto vulnerável e o verifiquei.O projeto continha uma vulnerabilidade XSS refletida em um arquivo .tml:
<t:Form t:id="testXSSForm">
<t:label for="testinputfield" />
<t:TextField t:id="testinputfield" t:value="testInput" />
<input type="submit" value="submit" />
</t:Form>
<p>
Your input is <t:OutputRaw t:value="testInput"/>
</p>
(veja exemplo mais detalhado em http://www.disasterarea.co.uk/blog/xss-vulnerabilities-in-web-frameworks-2/)
A vulnerabilidade não foi encontrada pelo Fortify e acho que o Fortify não entende os arquivos .tml específicos da estrutura.
Acredito que seria possível criar uma regra de configuração para este caso específico e sinalizar todas as ocorrências de "t:OutputRaw" como potencialmente inseguras, mas creio que a forma correta consistiria em criar uma regra de datasource para o inputform e uma regra de datasink para o campo outputRaw.
Como eu posso fazer isso?É possível criar regras de fluxo de dados para arquivos .tml do Tapestry em geral?
Solução
O suporte do Fortify afirma que atualmente a tapeçaria não é suportada.Não é possível criar regras (úteis) para arquivos .tml até que um analisador para esses arquivos seja fornecido pelo HP Fortify e isso não está planejado no momento.
