我在VB.Net源上运行了IBM AppScan工具,在路径遍历类别下的File.Copy方法中遇到了一个安全问题。如何解决此问题?Pat
浏览 43提问于2016-09-19得票数 0
2回答
我们有一个用ASP.NET MVC3开发的应用程序。渗透-由IBM AppScan工具完成的测试。我已经在Web.Config文件中包含了下面的代码行。注意:我们不使用表单身份验证登录。将ASPXAUTH标
浏览 0提问于2017-10-13得票数 4
最近,我的公司在我的Range2.0.0项目上做了一个源代码分析(使用AppScan),发现了一些漏洞。我把它们列在下面。Vulnerabilities
CWE-311:敏感数据的</em
浏览 2提问于2017-01-09得票数 0
IBM AppScan报告Google中有关跨域跟踪查询字符串参数的XSS漏洞。我想解决这个问题,但是:如果我能复制它,我就不知道如何修复它,因为它不在我控制的任何代码中。
还有人看过这个问题吗?我能安全地假设这是个假阳性吗?
浏览 0提问于2016-11-14得票数 1
回答已采纳
2回答
我们有一个用ASP.NET MVC3开发的应用程序。渗透-由IBM AppScan工具完成的测试。<httpCookies requireSSL="true"/>
注意:我们不使用表单身份验证登录。我们使用的</e
浏览 1提问于2017-10-13得票数 2
2回答
我有一个asp.net web应用程序,正在接受内部IT部门的笔试。他们正在使用IBM AppScan对web应用程序运行扫描。不断出现的错误之一是与viewstate输入字段相关的错误。AppScan将其标记为盲SQL注入。
我正在向IT安全人员解释这个问题。我告诉他们,我能做的最好的事情就是捕获错误并向用户返回一个错误屏幕。他们坚持认为有某种SQL注入正在进行。对于这种情况,你还有什么推荐的方式
浏览 4提问于2011-12-26得票数 3
回答已采纳
我正在使用IBM AppScan标准版。当我运行扫描时,在左侧窗格中选择了“基于网址”按钮,我可以看到AppScan已经找到并将被扫描的不同网址。在扫描过程中,我知道在窗口底部可以看到正在测试的当前URL,但是有没有其他方法可以判断某个URL是否已经被完全扫描?
浏览 3提问于2019-03-01得票数 0
4回答
静态代码评审方法
、、、
我的问题与Veracode与Fortify/AppScan使用的静态代码分析方法有关。( A)与源代码相比,对二进制文件进行评审是否有好处/缺点?( B)哪一个提供更多的覆盖范围
浏览 0提问于2014-05-14得票数 8
我在一个java源代码上运行了IBM AppScan工具。它在"pageFile =新文件(FileName);“行上的”PathTraversal- Promote to Vulnerability“下列出了一些调查结果。我能知道纠正这个问题的解决方案是什么吗?logger.logDebug(EVENT_TYPE, "####################################################\n");
浏览 1提问于2014-12-04得票数 0
1回答
我们的架构是:我们无法传递用于检测webapp服务器中任何安全缺陷的IBM AppScan,因为它发现我们的tomcat server.xml文件在我们的端口中没有添加secure="yes“属性。但是,不应该将secure="yes“属性添加到tomcat server.xml文件中</
浏览 0提问于2014-12-16得票数 0
2回答
在扫描我的应用程序以查找以下代码时,IBM AppScan抛出了所需的错误验证:我不确定为什么会抛出这个错误
浏览 17提问于2018-07-19得票数 0
回答已采纳
我用一个商业工具(IBM AppScan)测试了一个web应用程序以进行渗透测试。我发现了一个与加密会话(SSL) Cookie中缺少安全属性有关的bug。web应用程序是用.Net编写的,因此我将此内容添加到web配置中:之后,我用Firefox中的“高级Cookie管理器”插件在浏览器中检查了应用程序高
浏览 0提问于2013-12-31得票数 1
回答已采纳
我正在尝试修复IBM结果中的问题,并且我得到了AppScan标志:在屏幕上显示此命令我100%肯定,我没有发送关键信息,在查询参数,甚至收到请求,我正在考虑的是,应用程序发送的请求,它自己
浏览 9提问于2020-10-10得票数 0
回答已采纳
我正在使用IBM应用程序扫描,我们发现这个错误显示为"Informational“而不是severity = High。我们已经实现了代码来对抗它,但在第二轮之后,扫描它仍然在那里。我可以知道所有这些信息扫描结果的目的是什么吗?
浏览 1提问于2013-03-13得票数 0
3回答
桌面应用程序的安全扫描
、、、
我们提供现成的解决方案,而不是定制开发。一个潜在的新客户希望在我们的标准合同中添加一个部分,要求我们使用“应用程序扫描”工具。他们特别提到了IBM的AppScan。对于ISV是否有遵守这类安全审查要求的指导方针?我知道有许多站点用于安全编码实践(验证用户输入、缓冲区溢出、SQL注入等)。但是,我从来没有见过任何东西讨论如何编写一个安全评论,从而使最终用户相信程序员正确地完成了他们的
浏览 0提问于2013-04-25得票数 5
AppScan源标记进行的安全扫描,必须在下面代码中的行uprs.updateString上验证输入(Validation.Required): ... uprs.updateRow();
我假设这背后的目的是避免问题:通过这些JDBC方法
浏览 2提问于2017-01-10得票数 1
回答已采纳
1回答
我们已经在实验室使用IBM扫描了一个Spring安全应用程序,并且有一个“会话标识符而不是更新”的中型警报。一切都是默认的,并且它运行在Tomcat下。这是Tomcat问题还是Spring安全问题?我们对此感到困惑,因为它应该是一个流行的开箱即用的组合。localhost
用户-代理: Mozilla/5.0 (兼容;MSIE 9.0;Windows 6.1;WOW64;TRIE5.0)
内容-长度: 23
j_usern
浏览 4提问于2014-11-20得票数 0
2回答
我正在使用Appscan源代码版本进行Java安全编码。它在我的应用程序中报告了一个SQL注入。问题是我们在代码中动态生成查询,所以我不能使用预准备语句。AppScan并不认为这是为了缓解SQL注入问题。(), userId); 此外,此代码不适用于ESAPI.encoder()
如何解决此问题
浏览 4提问于2015-07-08得票数 1
IBM Appscan源代码扫描程序在以下源代码中检测到AppDOS.ConnectionClose漏洞。
我通过关闭finally块中的连接修复了这个问题,但它仍然报告相同的问题。是否有关闭数据库连接的模式?
浏览 0提问于2016-05-05得票数 1
我正在使用IBM来查找使用Security的应用程序中的潜在漏洞。AppScan报告了应用程序的不安全临时文件下载问题。.~1、contact-us.bak等URL的请求用HTTP代码200和相同的内容进行响应。所讨论的应用程序确实有一个映射到URL contact-us的联系人Us页面。页的控制器代码如下所示:
@RequestMapping(value = U
浏览 0提问于2018-03-06得票数 0
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号