È possibile che Veracode rilevi vulnerabilità nei file jsp?

Naviga le tue risposte
0

Abbiamo scelto Veracode per eseguire la valutazione della sicurezza del nostro codice JavaEE. Abbiamo eseguito test di sicurezza white-box usando Veracode. Siccome sono abbastanza nuovo per Veracode, sono rimasto sorpreso di non trovare risultati per i nostri file jsp imperfetti. Tutti i risultati erano intorno a qualche servelina. Inoltre non abbiamo trovato alcun risultato nelle nostre classi Manager e Service Class (codice back-end). Per favore guida. Cosa mi manca qui?

    
posta Security Tim 01.02.2013 - 07:41
fonte

1 risposta

2

Ciao e grazie per il tuo feedback. Posso offrirti alcune informazioni generali qui e fornire suggerimenti su come possiamo scavare nella tua specifica applicazione.

Innanzitutto, Veracode supporta i JSP. Generalmente eseguiamo la precompilazione delle JSP al momento dell'invio, in modo da poter disporre di tutti i pezzi di supporto necessari, quindi analizziamo il codice byte risultante insieme al resto del codice Java compilato.

Ci sono alcune cose che possono andare storte quando un cliente carica JSP:

  1. Le JSP non possono essere compilate . Questo succede quando o un supporto la libreria richiesta da JSP non è presente nel caricamento o nella JSP è in uno stato incomprensibile. Segnaliamo qualsiasi compilazione JSP fallimenti nel rapporto prescan, quindi se li vedi è generalmente un firmare che non saremo in grado di analizzare il contenuto dei JSP. Se vedi questi avvertimenti, controlla se ti manca una lezione dipendenza e vedere se è possibile caricarlo in modo che possiamo ottenere un bene versione compilata del tuo JSP.
  2. C'è un problema di packaging . Mentre siamo in grado di gestire diversi modi per pacchettizzare la tua applicazione, il servizio di Veracode è il migliore risultati se si carica un'applicazione Web come WAR adeguatamente imballata file, incluso il web.xml. Se carichi l'applicazione pacchettizzata in un modo diverso potremmo non essere in grado di inserire le JSP nella loro contesto appropriato per l'analisi. Questa è un'area su cui stiamo lavorando, perché ci rendiamo conto che non tutti i server di applicazioni Java richiedono WAR, e potresti essere distribuito usando un modello diverso.
  3. Non supportiamo uno dei tuoi framework . Poiché Veracode esegue un'analisi completa dei dati e del flusso di controllo dell'applicazione, è necessario avere una comprensione di tutto ciò che potrebbe influire sul controllo flusso, compresi i quadri. In genere cerchiamo di chiamare non supportato quadri anche al momento del caricamento; ovviamente non è qualcosa sarai in grado di rispondere con una soluzione rapida, ma cerchiamo di essere come trasparente come possiamo su ciò che possiamo analizzare e cosa non possiamo.

A parte questo, potremmo semplicemente avere un problema nel nostro motore quando si tratta della tua applicazione. La cosa migliore da fare è pianificare una lettura con il nostro team di assistenza in modo che possiamo esaminare i risultati con te e offrirti consigli per la tua applicazione specifica. A seconda dell'abbonamento, potresti avere un pulsante "Richiedi una lettura" direttamente nell'interfaccia utente; se non lo fai, ti preghiamo di contattarci al supporto di veracode.com e vedremo cosa possiamo fare per rispondere alle tue preoccupazioni.

    
risposta data 01.02.2013 - 15:50
fonte

Leggi altre domande sui tag

Come proteggere i file (cron file) dall'esecuzione da parte di tutti? C'è un modo semplice per proteggere Apache su debian?