对比AppScan Source和Fortify扫描AltoroJ的结果
1、漏洞总数
AppScan Source:91
Fortify:121
2、Disclaimer.htm:34(Cross-Site Scripting:DOM)的漏洞Fortify能扫描出来,AppScan Source扫描不出来
另外,Fortify能扫描出比较多Persistent类型的XSS漏洞
并且归类比较好(分DOM、Persistent、Reflected类型列出)
3、AdminLoginServlet.java:35(Password Management:Hardcoded Password)的漏洞Fortify能扫描出来,AppScan Source扫描不出来
4、Fortify扫出的DBUtil.java:238(Access Control:Database)在AppScan中被归类到SQL Injection
5、admin.jsp:18(Password Management:Empty Password)属于误报
<script language="javascript">
function confirmpass(myform)
{
if (myform.password1.value.length && (myform.password1.value==myform.password2.value))
{
return true;
}
else
{
myform.password1.value="";
myform.password2.value="";
myform.password1.focus();
alert ("Passwords do not match");
return false;
}
}
</script>
6、Fortify会报比较多这类问题:
Code Correctness:Class Does Not Implement equals
Hardcoded Domain in HTML
Hidden Field
J2EE Bad Practices
J2EE Misconfiguration
Missing Check against Null
Password Management:Password in Comment
Poor Error Handling
System Information Leak:Incomplete Servlet Error Handling
7、Fortify会报比较多transfer.jsp:32(Cross-Site Request Forgery)这类CSRF的问题,而AppScan Source没有扫出来
8、Fortify有扫出ServletUtil.java(Missing XML Validation)的问题,而AppScan Source没有扫出来
9、Fortify有扫出AdminServlet.java:65(Redundant Null Check)的问题,而AppScan Source没有扫出来
再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow
对比AppScan Source和Fortify扫描AltoroJ的结果相关推荐
- appsan可以扫描linux吗,[经验]使用appscan实现多站扫描简单自动化
随着年龄增长,身上负担的压力也越来越大. 在工作中很多时候都会需要短时间内扫描多个网站,可能是平时时间不够,或者是客户特别要求,很多时候工作中的扫描工作要放在晚上睡觉时间来做. 但是白天忙了一天,晚上 ...
- 解决fortify扫描出的Code Correctness: Double-Checked Locking问题(java语言)
现有java代码如下: ... if (fitz == null) { synchronized (this) { if (fitz == null) { fitz = new ...
- Fortify扫描漏洞解决方案
目录 Log Forging漏洞: Null Dereference Unreleased Resource: Streams Portability Flaw: File Separator Por ...
- fortify扫描java_使用HP Fortify SCA扫描Linux内核
我正在尝试使用HP Fortify SCA扫描RHEL7.5服务器内核[linux-3.10.0-862.el7] . 我在虚拟机上的RHEL工作站操作系统上 . 在工作目录中,我正在做: " ...
- Web漏洞扫描-Appscan安装配置及扫描
软件介绍 AppScan 是一种 Web 应用程序安全扫描工具,可帮助组织识别和修复其 Web 应用程序中的漏洞.它结合使用自动和手动测试技术来识别漏洞,例如跨站点脚本 (XSS).SQL 注入和不安 ...
- APPSCAN安装、手动扫描及自动扫描
APPSCAN扫描原理: appscan通过自动爬取(自动探索扫描)或者手动探索到的URL等表单参数进行分析.得出可能存在问题的参数点.对参数点进行脚本替换然后提交服务器看服务器的响应进行问题判断,最 ...
- c语言fortify扫描报告,fortify代码扫描问题结果分析
最近项目的代码使用fortify工具扫描了一下,发现了项目中存在的一些问题,在以后代码编写的过程中要注意,避免出现类似的错误. 以下为本次代码分析工具FORTIFY对代码的分析结果.这些问题虽然古老. ...
- fortify扫描java_fortify代码扫描使用教程(20.0版本)
先下载20.0版本的fortify,下载地址:http://www.pc6.com/softview/SoftView_837967.html 下载后傻瓜式安装 安装完成后,打开Audit Workb ...
- fortify扫描java_亲测有效的几种fortify扫描安全漏洞的解决方案
1.Header Manipulation:过滤请求头中的参数 public static String getFilePath(String path){ String regex = " ...
- Hacking Tools搜罗大集合
各种各样的黑客工具浩如天上繁星,这也让许多刚刚入门安全技术圈的童鞋感到眼花缭乱,本文整理了常用的安全技术工具,希望能够给你带来帮助.以下大部分工具可以在 GitHub 或 SourceForge 下载 ...
最新文章
- Python基础编程——字典
- Nature子刊:改进宏基因组的分箱和组装的新方法
- 设计模式学习(一) 基本理念
- Linux/Unix环境下的make和makefile详解
- python图像检测_如何用Python检测图像中的矩形项
- MySQL中如何定义外键[转]
- 极限学习机ELM原理与实现
- 3D视觉学习路线 + 路线规划
- 【低代码平台浅析】钉钉宜搭
- echarts饼状图设置位置
- 基于SSM框架的实验室设备管理系统
- 计算机电源故障引起火灾,计算机硬件的常见故障及维护方法
- Java中间件mock_JAVA中间件Diamond整理
- java mongodb gridfs_MongoDB-4 GridFS 文件存储
- 遍历目录下的所有文件和文件夹
- BDH,CDH,DDH,DLP是什么?
- 上海迪士尼乐园将于6月30日恢复运营,乐园门票6月29日起重新发售 | 美通社头条...
- 微信公众号发布消息不消耗群发次数怎么实现
- PDF文件可以修改吗,怎么修改PDF文件内容
- Java基础——狂神说