Fortify 扫出Access control database；return jdbcTemplate.queryForList（sql）；sql指令包

Posted 2023-05-01

Fortify 扫出Access control database；return jdbcTemplate.queryForList（sql）；sql指令包含一个攻击者控制的主键，求大神详细解决方法

参考技术A 一般来说，fortify 会给出这个漏洞的详细解释以及修复方法建议。

如何查看 Fortify 安全编码规则的所有规则？

【中文标题】如何查看 Fortify 安全编码规则的所有规则？

【英文标题】：How can I see all the rules of Fortify Secure Coding Rules?

【发布时间】：2012-12-28 11:08:19

【问题描述】：

我想查看 Fortify Secure Coding Rules 的具体规则（Fortify 默认使用的规则），因为我想写一份关于 Fortify 使用的所有规则的报告：

我尝试在 C:\Program Files\Fortify Software\HP Fortify v3.60\Core\config\rules 中查看它们，但我找到了 .bin 文件，但我看不到它们。 我也打开了AuditWorkbench，但在安全内容管理中我也看不到它们。

有什么办法可以看到吗？？感谢您的帮助。

【参考方案1】：

没有成为 HP Fortify 的软件工程师，不可以。默认规则被视为 HP Fortify 的知识产权，工程部门以外的任何人都无法访问它们。

您想通过这份报告解决什么问题？

【讨论】：

嗯好的！！例如，这个想法是扫描一个项目并使用 auditworkbench 生成报告。然而，在另一份报告中，我已经生成了这个项目的报告，这要归功于 Fortify 和这个规则......等等。所以，我会写下我使用了默认规则。谢谢！！

【参考方案2】：

由于 HP/Fortify 将规则包作为二进制文件分发以保护其知识产权，您将无法看到各个规则是如何编写的。

但是，如果您希望包含有关使用了哪些规则/规则包的一些信息，您可以导航到项目摘要 em> screen 并查看在扫描时使用了哪些规则包。您还可以访问诸如每个规则包的版本和每个包的附加元数据等信息。

能够在元报告中提供这种详细程度可能足以抢占后续问题。只是一个想法......