对比AppScan Source和Fortify扫描AltoroJ的结果

最新推荐文章于 2024-05-13 15:01:03 发布
最新推荐文章于 2024-05-13 15:01:03 发布
阅读量772 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hdsghtj/article/details/87350444
版权
               

1、漏洞总数
AppScan Source:91
Fortify:121

2、Disclaimer.htm:34(Cross-Site Scripting:DOM)的漏洞Fortify能扫描出来,AppScan Source扫描不出来
另外,Fortify能扫描出比较多Persistent类型的XSS漏洞
并且归类比较好(分DOM、Persistent、Reflected类型列出)

3、AdminLoginServlet.java:35(Password Management:Hardcoded Password)的漏洞Fortify能扫描出来,AppScan Source扫描不出来

4、Fortify扫出的DBUtil.java:238(Access Control:Database)在AppScan中被归类到SQL Injection

5、admin.jsp:18(Password Management:Empty Password)属于误报
<script language="javascript">

function confirmpass(myform)
{
  if (myform.password1.value.length && (myform.password1.value==myform.password2.value))
  {
    return true;
  }
  else
  {
    myform.password1.value="";
    myform.password2.value="";

最低0.47元/天 解锁文章
hdsghtj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fortify屏蔽漏洞Access Control: Database
weixin_43063748的博客
06-23 9734
项目使用了Mybatis该如何屏蔽Access Control Database漏洞
AppScan Source学习笔记
软件质量优化
10-17 4902
AppScan Source 8.7支持Windows、OS X、Linux可以扫描 Eclipse 3.8 项目文件,并且 AppScan Source for Development(Eclipse 插件) 可以应用于 Eclipse 3.8支持Android、iOSAppScan Source V8.7 中弃用的功能从 AppScan Source V8.7 开始,不再支持以下操作系统:Mi
2024年5月最新AppScan10.5.0 安装使用教程(看这一篇就够啦)附下载
最新发布
qq_43355651的博客
05-13 3037
AppScan套件包括多种工具,如AppScan Standard(动态应用程序安全测试工具)、AppScan Source(渗透性内部静态应用程序安全测试工具)和AppScan Enterprise(可伸缩的应用程序安全测试工具),还包括AppScan on Cloud(ASoC),这是一套全面的应用程序安全测试软件,可作为服务提供。其工作原理包括利用爬虫技术进行网站安全渗透测试,自动对网页链接进行安全扫描,利用“探索”技术发现网站的结构和目录,然后使用扫描规则库对发现的每个页面的每个参数进行安全检查。
Fortify Access Control: Database
workhd的专栏
08-31 7279
项目经过扫描扫出来36个数据越权的高危漏洞,看了看这些问题和报告中给的修改建议 Access Control: Database (36 issues) Abstract 如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授 权的记录。 Explanation Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据 用来指定 SQL 查询中主键的值。 示例 1: 以下
Fortify扫描之Access Control: Database 问题修复
hjxxxxxxxxx的博客
12-12 4104
Access Control: Database
Fortify Access Control
安全新司机
10-05 831
攻击者访问未授权的数据
appscan漏洞扫描工具
07-12
appscan漏洞扫描工具: AppScan的安装 1、解压安装包,双击AppScan_Setup_10.0.0.exe运行,默认下一步安装完成即可。 2、将AppScanStdCrk文件夹中的rcl_rational.dll和AppScanStandard.txt复制到安装根路径下,覆盖...
APPScan基础扫描-技术手册》
11-08
APPScan基础扫描-技术手册》是一份详细指导如何使用IBM AppScan进行Web应用程序安全扫描的文档。AppScan是一款强大的静态代码分析工具,主要用于发现Web应用程序中的潜在安全漏洞。通过学习这份手册,用户可以掌握...
Web安全扫描工具:appscan安装和使用
08-19
AppScan家族包含了多种版本,如Source Edition用于源代码安全扫描,Standard Edition用于Web应用的快速扫描,以及Enterprise Edition用于安全管理与综合报告。在本文中,我们将重点讨论AppScan Standard Edition的...
ounce-maven-plugin:用于与HCL AppScan Source集成的Maven插件
05-04
使用ounce-maven-plugin和AppScan Source轻松将安全性测试集成到您的Maven构建中。 先决条件 Java 1.7或更高版本。 Maven 3.0或更高版本 用法 ounce-maven-plugin支持7个目标: 盎司:应用 盎司:项目 盎司:帮助 ...
AppScan扫描工具
11-21
AppScan是IBM的一款web安全扫描工具,可以利用爬虫技术进行网站安全渗透测试,根据网站入口自动对网页链接进行安全扫描扫描之后会提供扫描报告和修复建议等。 AppScan有自己的用例库,版本越新用例库越全(用例库...
工作中遇到的Fortify和Checkmarkx问题
qq_42199464的博客
01-04 3636
Fortify和checkmarx工作中的问题
Fortify代码扫描 Java提供解决方案支撑
weixin_45336602的博客
07-09 2393
Fortify代码扫描 Access Control: Database Mass Assignment: Insecure Binder Configuration Often Misused: File Upload Header Manipulation Server-Side Request Forgery
Access Control: Database(数据库访问控制)2020最新相关解析及完整解决方案
热门推荐
qq891714047的博客
08-28 1万+
知识库:Access Control: Database(数据库访问控制) 规则描述 数据库访问控制是指程序未进行恰当的访问控制,执行了一个包含用户控制主键的SQL语句,由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能。如果在一个应用中,用户能够访问他本身无权访问的功能或者资源,就说明该应用存在访问控制缺陷,也就存在越权漏洞。详见CWE ID566: Authorization Bypass Through User-C
解決 Fortify Access Control: Database
三斗的博客
08-21 9542
解決 Fortify Access Control: Database 方法如下 ①主鍵和字段避免包含ID命名。 ②根據ID查詢數據記錄,請使用dao層原生byId方法,不使用sql。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值