fortify扫面项目会出现的问题

最新推荐文章于 2025-05-01 14:27:04 发布
转载 最新推荐文章于 2025-05-01 14:27:04 发布 · 810 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/shaoyang/p/5766203.html
文章标签:

#c/c++

本文介绍了使用 Fortify 扫描项目时遇到的三个主要安全问题:未释放资源(Streams)、跨站脚本(XSS)和路径操纵。针对这些问题,提出了在异常处理中关闭流、使用 StringEscapeUtils 工具类转义参数以及通过白名单过滤路径的方法。此外,还简单提及了解决序列化问题的策略,即让相关类实现 Serializable 接口。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

近期,公司用fortify扫描项目,出现了很多的安全性问题,由于之前也没有接触过,网上的资料又比较少,一时间很是棘手,今天算是全部弄完了,顺便总结一下,也让其他人借鉴一下,少走些弯路.

1  Unreleased Resource: Streams

原因:出现这个漏洞的原因就是有时候流没有关闭,比如说创建流和关闭流之间,如果这段代码出现问题抛出异常则会没有关闭

方案:把关闭流的代码放入(try catch )finally中,即使出现异常也会关闭.

 

2. Cross Site Scripting

原因:这个就很多了,包括sql注入,也有可能是java向js中传参等原因,这里只介绍向js中传参

方法:StringEscapeUtils工具类,他有escapeJava();escapeJavaScript();escapeXml();等多种方法对传入的参数进行转义从而可以避免

 

3.path manipulation

最低0.47元/天 解锁文章

200万优质内容无限畅学
Fortify SCA快速入门以及常见问题解决方法
一个测试工程师的代码世界
10-15 5万+
本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态描测试。快速入门 规则库导入: 所有的描都是基于规则库进行的,因此,建立描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Cor
部分Fortify代码描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
fortify问题总结
04-07
fortify问题总结,系统安全类
fortify——Unreleased Resource: Streams
chdyiboke的博客
03-25 6585
一般有两种方法: a.手动关闭+异常处理  br.close。 b.FileUtil.closeStream(fis); 导入:import org.apache.commons.io.IOUtils; 1.  prop.load(ConfigUtil.class.getResourceAsStream("/config.properties"));    //
解决fortify描出的Unreleased Resource: Streams漏洞(java语言)
wypdao的专栏
03-04 1万+
现有代码如下: 。。。 writer = connection.getOutputStream(); 。。。 其实这个问题很好解决,从漏洞字含义大概也能看出,是没有关闭IO流导致的,解决方法如下: 。。。 writer = connection.getOutputStream(); 。。。 if(writer!=null){     writer.close(); } 。。
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 5670
Fortity 安全评测结果及解决方案
FortifySCA用户使用手册
11-08
- **AuditWorkbench** 是 Fortify Software 提供的一款强大的源代码分析工具,主要用于帮助企业检测源代码中存在的安全漏洞,并帮助开发人员修复这些问题。 - **Source Code Analysis 阶段**:在软件开发生命周期中...
FortifySCA AuditWorkbench 用户指南
这包括理解项目配置,如代码库路径、描设置等,以及设置过滤器组来筛选和优先处理特定类型的问题。用户可以保存配置参数,以便在后续的描中快速应用。此外,管理文件夹功能允许用户组织和管理描的源代码文件,...
【奇安信漏插件开发】
![【奇安信漏插件开发】]...奇安信漏插件作为一种安全工具,对于提高企业安全防御能力和及时发现系统漏洞起着至
fortify 漏洞描的几种解决方式
热门推荐
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决。 解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题Fortify描遇到了Path Manipulation问题,定位代码如下: 1
Fortify代码安全测试工具在静态应用安全测试(SAST)方针对典型问题的改进
daopuyun的博客
08-22 1053
Fortify代码安全测试工具作为行业内资深的老牌软件安全测试工具,可以同时支持静态代码描和动态代码描,本文我们讲述的主要是在静态代码描领域Fortify临的问题,以及最新的改进。在应用安全领域,特别是静态应用安全测试(SAST)的视角下,在开发之初通过Fortify静态代码安全描发现的一系列难以处理的问题对开发人员来说是一个不小的困扰,往往会导致开发过程中复杂性和摩擦的增加。
Fortify问题总结
最新发布
gitblog_06737的博客
05-01 283
Fortify问题总结 去发现同类优质开源项目:https://gitcode.com/ 简介 本文档详细总结了Fortify描过程中发现的安全问题,主要包括系统安全类的问题分析和解决方案。Fortify描是一种静态代码分析工具,用于检测代码中的潜在风险,确保软件的安全性。 文件内容 Fortify问题总结: 深入分析了Fortify描过程中发现的各种安全问题,如数据库查询风险、跨...
深入了解现代 SAST 工具​​
why811的博客
07-14 472
我希望这有助于概述 CodeQL 和 Semgrep 之间的一些异同,并真正展示它们的优势和劣势所在。将来,我们将深入研究查询和规则,并对两者进行深入比较。参考:goingbeyondgrep。
fortify java_Fortify SCA描JAVA源代码结果总结
weixin_39929813的博客
02-15 720
1.SQL注入在输入的字符串之中注入恶意的SQL指令,这些注入的指令会被数据库误认为是正常的SQL指令进行执行,是系统遭到破坏。例:String selectid="select"+id+" from StuInfo ";或:String selectid="select id from StuInfo where id="+id;上述两句SQL查询语句没有对输入进行限制,用户可以随意输入任意字符...
Unreleased Resource(资源未释放)
weixin_30710457的博客
10-13 1478
Unreleased Resource(资源未释放) 改问题好理解和解决。 当我们连接数据库, 操作文件等, 最后都进行关闭连接等操作 可以选择用using 代码块, 或者, 调用Close 或者Dispose 方法 using (var filestream = new FileStream(@"D:\test.txt", FileMode.Open)) { ...
'svn'提交 has encountered a problem
学而不思则罔,思而不学则殆
08-16 5608
遇到这种错误,先将svn的用户名和密码先清除,原来密码都是缓存在 C:\Documents and Settings\Administrator\Application Data\Subversion\auth 删除auth下的所有文件.如果文件夹被锁请参考:http://jingyan.baidu.com/article/c910274bc7530acd361d2dca.html。
fortify描python项目规则
03-19
### Fortify 描 Python 项目的规则配置最佳实践 Fortify 是一种强大的静态应用安全测试 (SAST) 工具,能够帮助开发者识别代码中的潜在安全漏洞。对于 Python 项目而言,Fortify描过程涉及特定的规则集和配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值