对比AppScan Source和Fortify扫描AltoroJ的结果

最新推荐文章于 2024-05-13 15:01:03 发布
最新推荐文章于 2024-05-13 15:01:03 发布
阅读量1w 收藏
点赞数
分类专栏: AppScan Source Fortify 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/testing_is_believing/article/details/19633497
版权

1、漏洞总数
AppScan Source:91
Fortify:121

2、Disclaimer.htm:34(Cross-Site Scripting:DOM)的漏洞Fortify能扫描出来,AppScan Source扫描不出来
另外,Fortify能扫描出比较多Persistent类型的XSS漏洞
并且归类比较好(分DOM、Persistent、Reflected类型列出)

3、AdminLoginServlet.java:35(Password Management:Hardcoded Password)的漏洞Fortify能扫描出来,AppScan Source扫描不出来

4、Fortify扫出的DBUtil.java:238(Access Control:Database)在AppScan中被归类到SQL Injection

5、admin.jsp:18(Password Management:Empty Password)属于误报
<script language="javascript">

function confirmpass(myform)
{
  if (myform.password1.value.length && (myform.password1.value==myform.password2.value))
  {
    return true;
  }
  else
  {
    myform.password1.value="";
    myform.password2.value="";
    myform.password1.focus();
    alert ("Passwords do not match");
    return false;
  }

}
</script>

6、Fortify会报比较多这类问题:
Code Correctness:Class Does Not Implement equals
Hardcoded Domain in HTML
Hidden Field
J2EE Bad Practices
J2EE Misconfiguration
Missing Check against Null
Password Management:Password in Comment
Poor Error Handling
System Information Leak:Incomplete Servlet Error Handling


7、Fortify会报比较多transfer.jsp:32(Cross-Site Request Forgery)这类CSRF的问题,而AppScan Source没有扫出来


8、Fortify有扫出ServletUtil.java(Missing XML Validation)的问题,而AppScan Source没有扫出来

9、Fortify有扫出AdminServlet.java:65(Redundant Null Check)的问题,而AppScan Source没有扫出来

 

 

 

 

TIB
关注
专栏目录
ibm appscan_IBM Security AppScan Source快速过程指南
cuyi7076的博客
07-06 1402
应用程序安全测试的市场领导者 Gartner将IBM Security AppScan列为应用程序安全测试的市场领导者。 阅读Gartner报告 。 本教程面向熟悉静态分析的IBM Security AppScan SourceIBM Security AppScan Source for Analysis客户端的当前用户。 为了简洁起见,在本指南的其余部分中,我将产品称为...
使用IBM Security AppScan Source 9.0简化组织的移动应用程序安全测试程序
cuyi7076的博客
07-01 278
存档日期:2019年5月15日 | 首次发布:2014年6月17日 今天,许多应用程序都是为移动设备编写的。 这些应用程序被Swift开发发布。 然而,许多这些应用程序的安全性仍然是一个主要问题。 AppScan Source 9.0通过引入本地模式,与IBM Worklight集成以及扩展其对Mac平台的支持,简化了组织的移动应用程序安全性测试。 此内容不再被更新或维护。 全文以P...
AppScan Source学习笔记
软件质量优化
10-17 4999
AppScan Source 8.7支持Windows、OS X、Linux可以扫描 Eclipse 3.8 项目文件,并且 AppScan Source for Development(Eclipse 插件) 可以应用于 Eclipse 3.8支持Android、iOSAppScan Source V8.7 中弃用的功能从 AppScan Source V8.7 开始,不再支持以下操作系统:Mi
Appscan的下载安装
王凯琦的博客
07-31 8745
Appscan的下载安装 1、下载Appscan:http://download2.boulder.ibm.com ... 2-AppScan_Setup.exe 版本是7.8 2、破解补丁:http://www.9553.com/soft/66617.htm       安装方法:   1.将patch.exe文件复制粘贴到APPSCAN7.8正式版软件安装目录下。   2.点击 Pa...
Web安全扫描工具:appscan安装使用
08-19
AppScan家族包含了多种版本,如Source Edition用于源代码安全扫描,Standard Edition用于Web应用的快速扫描,以及Enterprise Edition用于安全管理与综合报告。在本文中,我们将重点讨论AppScan Standard Edition的...
APPScan安全扫描使用手册
最新发布
11-05
用户可以直接点击扫描结果中给出的建议,从而弹出扫描配置框进行调整。同时,也可以在菜单栏中点击配置按钮,从弹出的扫描配置对话框中选择所需配置,之后点击应用按钮来调整测试系统。通过点击更多信息,用户可以...
ounce-maven-plugin:用于与HCL AppScan Source集成的Maven插件
05-04
使用ounce-maven-pluginAppScan Source轻松将安全性测试集成到您的Maven构建中。 先决条件 Java 1.7或更高版本。 Maven 3.0或更高版本 用法 ounce-maven-plugin支持7个目标: 盎司:应用 盎司:项目 盎司:帮助 ...
安全扫描工具AppScan10
05-29
5. **改进的用户体验**:提供更加直观的用户界面,便于用户操作理解扫描结果,同时提供了详细的指导,帮助用户修复发现的问题。 6. **报告合规性**:新的报告模板自定义选项使得报告更符合不同组织的合规需求...
【黑客工具】AppScan入门工作原理详解
Javachichi的博客
12-30 638
在使用 AppScan 的时候,要配置的第一个就是要检查的网站的地址,配置了以后,AppScan 就会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,简单说,了解了你的网站的结构。OK,这就是“爬虫”技术,具体说,是“网站爬虫”,其利用了网页的请求都是用 http 协议发送的,发送返回的内容都是统一的语言 HTML,那么对 HTML 语言进行分析,找到里面的参数链接,纪录并继续发送之,最终,找到了这个网站的众多的页面目录。对网站来说,一个网站存在的页面,可能成千上万。
2024年5月最新AppScan10.5.0 安装使用教程(看这一篇就够啦)附下载
qq_43355651的博客
05-13 6723
AppScan套件包括多种工具,如AppScan Standard(动态应用程序安全测试工具)、AppScan Source(渗透性内部静态应用程序安全测试工具)AppScan Enterprise(可伸缩的应用程序安全测试工具),还包括AppScan on Cloud(ASoC),这是一套全面的应用程序安全测试软件,可作为服务提供。其工作原理包括利用爬虫技术进行网站安全渗透测试,自动对网页链接进行安全扫描,利用“探索”技术发现网站的结构目录,然后使用扫描规则库对发现的每个页面的每个参数进行安全检查。
web安全测试---AppScan扫描工具详解测试方法说明
HRD的博客
08-27 6915
安全测试应该是测试中非常重要的一部分,但他常常最容易被忽视掉。尽管国内经常出现各种安全事件,但没有真正的引起人们的注意。不管是开发还是测试都不太关注产品的安全。当然,这也不能怪我们苦B的“民工兄弟”。因为公司的所给我们的时间与精力只要求我们对产品的功能的实现以及保证功能的正常运行。一方面出于侥幸心理。谁没事会攻击我?关于安全测试方面的资料也很少,很多人所知道的就是一本书,一个工具。...
解決 Fortify Access Control: Database
三斗的博客
08-21 1万+
解決 Fortify Access Control: Database 方法如下 ①主鍵字段避免包含ID命名。 ②根據ID查詢數據記錄,請使用dao層原生byId方法,不使用sql。
Fortify自定义规则笔记(二)
liweibin812的博客
02-15 6294
对于自定义规则,我们需要掌握每条规则的所代表的可以检查的漏洞类型,这样,才能编写有效的自定义规则,伴随着自定义规则库的增多,Fortify SCA发现漏洞,降低误报率会越来越低,一定程度上可以智能化的扫描系统。
Fortify扫描之Access Control: Database的思考
【欢迎关注公众号:冬瓜白】
07-21 1万+
扫描结果文件中是这么描述的: 大概明白问题的原因是:1.数据库主键自增使用的是序列;2.在进行查询的时候有多处地方是根据主键查询的。 这样的确会出现一个问题,因为攻击者会根据后台url使用轮询的方式扫描主键,从而获取信息。...
Fortify漏洞之Dynamic Code Evaluation: Code Injection(动态脚本注入) Password Management: Hardcoded Password(密...
arkqyo2595的博客
05-14 1962
  继续对Fortify的漏洞进行总结,本篇主要针对 Dynamic Code Evaluation: Code Injection(动态脚本注入)Password Management: Hardcoded Password(密码硬编码)的漏洞进行总结,如下: 1.1、产生原因:   许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。...
Fortify代码扫描工具
热门推荐
曰业而安的博客
12-26 1万+
一、Fortify介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使静态分析的准确度高效性。 默认情况下,Fortify SCA使用安装的安全编码规则包来检查源代码,并定义一系列...
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值