我想使用HP Fortify扫描使用tapestry框架实现的web-gui项目。为了测试,如果Fortify能够在tapestry项目中找到漏洞,我创建了一个易受攻击的项目并对其进行了扫描。 该项目在.tml文件中包含一个反映的XSS漏洞:
<t:Form t:id="testXSSForm">
<t:label for="testinputfield" />
<t:TextField t:id="testinputfield" t:value="testInput" />
<input type="submit" value="submit" />
</t:Form>
<p>
Your input is <t:OutputRaw t:value="testInput"/>
</p>
(见http://www.disasterarea.co.uk/blog/xss-vulnerabilities-in-web-frameworks-2/更详细的例子)
Fortify没有发现漏洞,我认为Fortify根本不了解特定于框架的.tml文件
我认为可以为这个特定情况创建一个配置规则,并将所有出现的“t:OutputRaw”标记为可能不安全,但我认为正确的方法包括为inputform创建数据源规则和数据链规则outputRaw字段。
我怎样才能做到这一点?是否可以为Tapestry的.tml文件创建数据流规则?
答案 0 :(得分:0)
Fortify Support表示目前不支持tapestry。在为HP Fortify提供这些文件的解析器之前,不可能为.tml文件创建(有用的)规则,而且目前还没有计划。