建立网站培训讲义,网站备案 多ip,wordpress更换新主题,wordpress 管理界面很多SAST集成了FindSecBugs这个开源工具#xff0c;其好处是直接对Class文件进行检测#xff0c;也就是直接检测二进制问题#xff0c;可以直接检测war、jar#xff0c;还是非常方便的。虽然误报率较高#xff0c;但是这些检测出来的安全漏洞很多是安全从业人员耳熟能详的…很多SAST集成了FindSecBugs这个开源工具其好处是直接对Class文件进行检测也就是直接检测二进制问题可以直接检测war、jar还是非常方便的。虽然误报率较高但是这些检测出来的安全漏洞很多是安全从业人员耳熟能详的漏洞所以可能感觉还不错的。
分类规则名称加密类使用弱信任管理器使用弱密码哈希函数使用弱SSL/TLS协议使用自定义HASH加密算法十六进制转换错误不安全的Hazelcast对称加密使用不安全的NullCipher未加密的套接字未加密的服务器SocketAES应该代替DESAES应该代替DESede没有适当填充的RSA密码使用弱密钥大小的Blowfish算法使用弱密钥大小的RSA初始化向量IV未正确生成不提供完整性的密码不安全的SMTP SSL链接通过错误消息检测可能的信息泄露JSP远程包含JSP动态输入文件攻击Spring表达式动态变量禁用特殊XML字符的转义可能会导致XSS漏洞提供恶意XSLT触发远程控制攻击Android外部存储上的文件访问SendBroadcast()方法调用存在安全隐患使用创建模式MODEWORLDREADABLE写入的文件存在安全隐患Geolocation API的安全隐患启用了JavaScript的WebView存在安全隐患带JavaScript接口的WebViewCSRFSpring CSRF跨站请求伪造保护禁用无限制的Spring的RequestMapping使该方法容易受到CSRF攻击注入类AWS查询注入JavaBean参数注入潜在的命令行注入自定义方法注入ActionForward填充了用户控制的参数以格式字符串参数检测用户输入将用户控制的输入连接到URL潜在的LDAP注入未经验证的重定向潜在的SQL注入应用程序在会话属性中混合可信和不可信数据密码类对易受定时攻击影响的哈希的不安全比较硬编码密码硬编码加密密钥Spring类使用Spring Framework进行未经验证的重定向模板类使用Velocity模板存在潜在注入使用Freemarker模板存在潜在注入Xpath注入类潜在的XPath注入XSS攻击类XSSRequestWrapper是一种弱XSS保护机制JSP中潜在的XSSServlet中潜在的XSScookie存储类Cookie设置时间过长URL重写安全风险使用Cookie存储敏感信息没有设置安全标志的Cookie文件类潜在的路径遍历由FileUpload API提供的文件名可以被客户端篡改序列化类不安全的Jackson反序列化配置对象反序列化LDAPLDAP实体投毒匿名LDAP绑定XMLXML解析容易受到XXE外部实体攻击使用XMLDecoder解析用户提供的数据是不安全的恶意XSLT可触发远程代码执行其它FilenameUtils不过滤空字节HTTP拆分攻击Structs表单没有输入验证定义了一种过度宽松的跨源资源共享CORS策略检测可预测伪随机生成器PRG的使用正则表达式可以通过一些输入呈指数增长潜在的外部控制配置endpointStruts Action问题使用SpringMVC Controller问题使用Tapestry Pages问题使用Wicket WebPage问题来自ServletRequest和HttpServletRequest请求的参数值不安全使用Struts2问题
