IBM AppScan 的验证要求问题
Posted
技术标签:
【中文标题】IBM AppScan 的验证要求问题【英文标题】:Validation Required issue by IBM AppScan 【发布时间】:2018-12-27 07:03:44 【问题描述】:IBM AppScan 在扫描我的应用程序以查找以下代码时引发了错误 Validation Required:-
return Arrays.asList(System.getenv("PATH").split(":"));
我不确定为什么会抛出错误。会不会是误报?可以用吗
System.getProperty("java.class.path")
【问题讨论】:
【参考方案1】:AppScan 报告验证问题,因为您从应用程序外部的源获取变量值。根据 IBM AppScan 规则,应验证来自应用程序外部的所有字符串值。如果您确定没有人会更改 PATH 值,则可以说这是误报。
【讨论】:
谢谢。但是如何验证 PATH 变量的值呢? JAVA 教程指出“当系统属性中存在相同的值时,永远不要引用环境变量”。那么哪个属性会返回与 getenv("PATH") 相同的值呢? 检查漏洞建议,在 AppScan Source 中,您应该看到该工具会接受什么,或者只是将其标记为误报。【参考方案2】:拆分函数:取决于您必须在函数中传递哪些数据。如果在传递函数之前验证了数据,那么您可以将此问题标记为误报。 通常我们将分割函数标记为误报
【讨论】:
这并没有提供问题的答案。一旦你有足够的reputation,你就可以comment on any post;相反,provide answers that don't require clarification from the asker。 - From Review 我知道所有的堆栈溢出策略。我仍然理解您的观点,但如果我知道答案,我可以发布,如果您认为这不是正确答案,请更新正确答案。以上是关于IBM AppScan 的验证要求问题的主要内容,如果未能解决你的问题,请参考以下文章
asp.net 用IBM Appscan 软件扫描爆出“登录错误信息凭证枚举”高位漏洞!请问怎么解决啊?
安全测试工具IBM Rational AppScan的使用教程