IBM AppScan 的验证要求问题

Posted

技术标签:

【中文标题】IBM AppScan 的验证要求问题【英文标题】:Validation Required issue by IBM AppScan 【发布时间】:2018-12-27 07:03:44 【问题描述】:

IBM AppScan 在扫描我的应用程序以查找以下代码时引发了错误 Validation Required:-

return Arrays.asList(System.getenv("PATH").split(":"));

我不确定为什么会抛出错误。会不会是误报?可以用吗

System.getProperty("java.class.path")

【问题讨论】:

【参考方案1】:

AppScan 报告验证问题,因为您从应用程序外部的源获取变量值。根据 IBM AppScan 规则,应验证来自应用程序外部的所有字符串值。如果您确定没有人会更改 PATH 值,则可以说这是误报。

【讨论】:

谢谢。但是如何验证 PATH 变量的值呢? JAVA 教程指出“当系统属性中存在相同的值时,永远不要引用环境变量”。那么哪个属性会返回与 getenv("PATH") 相同的值呢? 检查漏洞建议,在 AppScan Source 中,您应该看到该工具会接受什么,或者只是将其标记为误报。【参考方案2】:

拆分函数:取决于您必须在函数中传递哪些数据。如果在传递函数之前验证了数据,那么您可以将此问题标记为误报。 通常我们将分割函数标记为误报

【讨论】:

这并没有提供问题的答案。一旦你有足够的reputation,你就可以comment on any post;相反,provide answers that don't require clarification from the asker。 - From Review 我知道所有的堆栈溢出策略。我仍然理解您的观点,但如果我知道答案,我可以发布,如果您认为这不是正确答案,请更新正确答案。

以上是关于IBM AppScan 的验证要求问题的主要内容,如果未能解决你的问题,请参考以下文章

请问:AppScan如何扫描需要输入验证码的网站呢?

asp.net 用IBM Appscan 软件扫描爆出“登录错误信息凭证枚举”高位漏洞!请问怎么解决啊?

IBM Rational AppScan使用详细说明

安全测试工具IBM Rational AppScan的使用教程

IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法

IBM AppScan - 加密会话 (SSL) Cookie 中缺少安全属性