Hai domande sulla scansione di sicurezza ricevuta

2

Ho ricevuto una scansione di sicurezza da Fortify su una webapp (usando SSL / HTTPS) scritta in Angular su cui sto lavorando e ho due domande (problemi ad alto rischio) su cui sto cercando aiuto.

  1. Controllo accesso: File non protetto - GET /fonts/fontawesome-webfont.ttf?4.3.0. Quindi la webapp usa icone fontawesome e immagino che il file webfont sia accessibile è il problema? Per prima cosa vorrei chiarire che la mia comprensione è corretta. Allora, c'è qualcosa che posso fare? Se cambio le autorizzazioni, posso interrompere l'accesso al file, ma le icone non vengono visualizzate! È davvero un alto rischio per la sicurezza che i file webfont non siano protetti?
  2. Gestione password: invio non sicuro - GET /templates/some_file.html?user=12345&pwd=12345. La webapp a un certo punto farà apparire una modal che richiede un nome utente e una password. 'user' e 'pwd' provengono dal campo del nome e non so se la semplice rimozione dei campi del nome dagli input possa risolvere questo problema? L'altra cosa che ho già fatto è prendere tutti i file html che non sono index.html e costruirli (usando grunt) in un file javascript, quindi ora non puoi semplicemente accedere a /templates/some_file.html e io non lo faccio Non so se questo risolva anche questo problema?

Infine, vedo i numeri di CWE che non sono chiaro se questi corrispondono ai numeri CVE che ho visto menzionati sui siti? Quando ricevo un rapporto come questo, c'è un sito in cui posso andare a spiegarmi questi problemi in modo che io possa venire a conoscenza di questi?

I migliori saluti, Julie

    
posta JulieMarie 23.09.2015 - 20:03
fonte

1 risposta

4

In primo luogo, strong quanto Fortify è per l'analisi statica, non capisce ancora l'applicazione o il modello di implementazione, quindi deve talvolta fare supposizioni. E quando sei in dubbio, Fortify dice che qualcosa è un problema. Quindi avrai molti falsi positivi che devi semplicemente ignorare. Puoi farlo impostando il campo Analisi su Non un problema in Audit Workbench o SSC. Fortify porterà questa scansione a scansioni future in modo da non dover mai più prestare attenzione a questo problema.

  • File non protetto : è difficile essere certi senza vedere il codice ma, in base alla descrizione, sembra che questo non sia un problema. Fortify è corretto, questi file non sono protetti, ma dovrebbero essere in quel modo. Quindi contrassegnalo Non è un problema e vai avanti.
  • Gestione password: invio non sicuro : il problema qui è l'utilizzo di GET anziché POST per eseguire la richiesta di accesso. I parametri GET vengono passati come parte dell'URL dopo un carattere ? . Gli URL hanno la brutta tendenza ad essere registrati nei log e così via. Quindi passare una password o altri dati riservati tramite una richiesta di GET è considerata un'esposizione alla privacy. Dovresti modificare la richiesta in POST sul client e / o sul server, a seconda del tuo framework webapp.

Le CWE sono voci nella enumerazione delle debolezze comuni . Sono un elenco di comuni errori di programmazione e distribuzione che portano a problemi di sicurezza. Fortify li visualizza per aiutarti a capire il problema riscontrato. Ad esempio, il problema del file non protetto potrebbe essere visualizzato come CWE-306: autenticazione mancante per la funzione critica . Puoi semplicemente cercarli su Google per trovare quelli specifici. Se non hai già letto CWE-25 , probabilmente vale la pena farlo. Questi problemi tendono a comparire spesso nella sicurezza delle applicazioni.

    
risposta data 23.09.2015 - 20:17
fonte

Leggi altre domande sui tag