¿Puede Veracode detectar vulnerabilidades en archivos jsp?

Navega tus respuestas
0

Hemos elegido Veracode para realizar la evaluación de seguridad de nuestro código JavaEE. Hemos estado realizando pruebas de seguridad de caja blanca usando Veracode. Como soy bastante nuevo en Veracode, me sorprendió no encontrar resultados para nuestros archivos jsp imperfectos. Todos los resultados fueron alrededor de unos pocos servelets. Además, no encontramos ningún resultado en nuestras clases de administrador y clases de servicio (código de backend). Por favor guia ¿Qué me estoy perdiendo aquí?

    
pregunta Security Tim 01.02.2013 - 07:41
fuente

1 respuesta

2

Hola y gracias por tus comentarios. Puedo ofrecerle información general aquí y proporcionar sugerencias sobre cómo podemos profundizar en su aplicación específica.

Primero, Veracode tiene soporte para JSPs. Por lo general, precompilamos los JSP en su envío para asegurarnos de que tenemos todas las piezas de apoyo necesarias, luego analizamos el código de bytes resultante junto con el resto de su código Java compilado.

Hay algunas cosas que pueden salir mal cuando un cliente carga JSP:

  1. No se pueden compilar JSP . Esto sucede cuando o bien un soporte La biblioteca requerida por el JSP no está presente en la carga, o el JSP esta en un estado no compilable Informamos de nuevo cualquier compilación JSP fallas en el informe de pre-escaneo, así que si ve estos es generalmente un señal de que no podremos analizar el contenido de las JSP. Si ve estas advertencias, verifique si falta una clase dependencia y ver si puede subirlo para que podamos obtener una buena versión compilada de su JSP.
  2. Hay un problema de empaquetado . Si bien podemos manejar algunas formas diferentes de empaquetar su aplicación, el servicio Veracode es el mejor resultados si carga una aplicación web como un WAR correctamente empaquetado archivo, incluyendo el web.xml. Si subes la aplicación empaquetada de otra manera, es posible que no podamos poner las JSP en su Contexto adecuado para el análisis. Esta es un área en la que estamos trabajando, Porque nos damos cuenta de que no todos los servidores de aplicaciones Java requieren WAR y es posible que esté implementando utilizando un modelo diferente.
  3. No admitimos uno de tus marcos . Debido a que Veracode realiza un análisis completo de flujo de datos y control de la aplicación, necesitamos Tener un entendimiento de todo lo que pueda impactar el control. Flujo, incluidos los marcos. Por lo general, tratamos de llamar sin soporte marcos en el momento de subir también; obviamente eso no es algo Podrás dirigirte con una solución rápida, pero tratamos de ser como tan transparentes como podamos sobre lo que podemos analizar y lo que no podemos.

Aparte de eso, es posible que simplemente tengamos un problema en nuestro motor cuando se trata de su aplicación. Lo mejor que puede hacer es programar una lectura con nuestro equipo de servicio para que podamos ver sus resultados con usted y ofrecerle asesoramiento para su aplicación específica. Dependiendo de su suscripción, puede tener un botón "Solicitar una lectura" directamente en la interfaz de usuario; Si no lo hace, póngase en contacto con nosotros en soporte en veracode.com y veremos qué podemos hacer para responder a sus inquietudes.

    
respondido por el Tim Jarrett - Veracode 01.02.2013 - 15:50
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el método utilizado en el ataque del New York Times? [cerrado] ¿Cuáles son los peligros de la autorización del lado del cliente? [duplicar]