HP Укрепительные правила для рамок гобелен
Вопрос
Я хотел бы использовать HP укрепленный для сканирования веб-графического проекта, реализованного с помощью гобелен framework. Чтобы проверить, если укрепить, может найти уязвимостей в гобелен-проекте, я создал уязвимый проект и отсканировал его. Проект содержал отраженную уязвимость XSS в файле .tml-файла:
<t:Form t:id="testXSSForm">
<t:label for="testinputfield" />
<t:TextField t:id="testinputfield" t:value="testInput" />
<input type="submit" value="submit" />
</t:Form>
<p>
Your input is <t:OutputRaw t:value="testInput"/>
</p>
.
(см. Более подробный пример в http: / /www.disasterArea.co.uk/blog/xss-vulnerabilities-in-web-frameworks-2/ )
Уязвимость не была найдена укрепленным, и я думаю, что укрепление не понимает рамках конкретных .tml-файлы вообще.
Я думаю, что можно было бы создать правило конфигурации для этого конкретного случая и пометить все происшествия «t: outputeRaw» как потенциально небезопасно, но я думаю, что правильный путь будет состоять из создания правила данных для ввода данных и правила DataSink для полевочное поле.
Как я могу это сделать? Можно ли создать правила DataFlow для гобеленов .tml-файлы в целом?
Решение
Укрепленные состояния поддержки, которые в настоящее время гобелен не поддерживается.Невозможно создавать (полезные) правила для файлов .tml до тех пор, пока не будет предоставлен парсер для этих файлов HP Serfify, и это не планируется в данный момент.