Ho ricevuto una scansione di sicurezza da Fortify su una webapp (usando SSL / HTTPS) scritta in Angular su cui sto lavorando e ho due domande (problemi ad alto rischio) su cui sto cercando aiuto.
- Controllo accesso: File non protetto - GET /fonts/fontawesome-webfont.ttf?4.3.0. Quindi la webapp usa icone fontawesome e immagino che il file webfont sia accessibile è il problema? Per prima cosa vorrei chiarire che la mia comprensione è corretta. Allora, c'è qualcosa che posso fare? Se cambio le autorizzazioni, posso interrompere l'accesso al file, ma le icone non vengono visualizzate! È davvero un alto rischio per la sicurezza che i file webfont non siano protetti?
- Gestione password: invio non sicuro - GET /templates/some_file.html?user=12345&pwd=12345. La webapp a un certo punto farà apparire una modal che richiede un nome utente e una password. 'user' e 'pwd' provengono dal campo del nome e non so se la semplice rimozione dei campi del nome dagli input possa risolvere questo problema? L'altra cosa che ho già fatto è prendere tutti i file html che non sono index.html e costruirli (usando grunt) in un file javascript, quindi ora non puoi semplicemente accedere a /templates/some_file.html e io non lo faccio Non so se questo risolva anche questo problema?
Infine, vedo i numeri di CWE che non sono chiaro se questi corrispondono ai numeri CVE che ho visto menzionati sui siti? Quando ricevo un rapporto come questo, c'è un sito in cui posso andare a spiegarmi questi problemi in modo che io possa venire a conoscenza di questi?
I migliori saluti, Julie