En un entorno de seguridad de aplicaciones, uso Fortify360 de Fortify Software a diario.
Uno de mis mayores obstáculos es explicar los números (fuentes frente a sumideros)
Fortify marca cada ubicación en el código fuente donde se muestran los datos no validados a un usuario como una vulnerabilidad de secuencias de comandos entre sitios.
Supongamos que hay 300 ubicaciones (sumideros) donde no está validado Los datos se muestran al usuario. De esos 300 sumideros, todos los datos se extraen de una base de datos que utiliza una funcion (fuente)
Fortify informará posteriormente que hay 300 vulnerabilidades de secuencias de comandos entre sitios. Lo que no le dice explícitamente es que 300 de los cuales pueden ser potencialmente reparados desde la misma ubicación.
Mi pregunta para usted, desde el punto de vista de Application Security Engineer, ¿le informa a su cliente que hay 300 vulnerabilidades de secuencias de comandos entre sitios o 1 vulnerabilidad de secuencias de comandos entre sitios? ¿Alguna de estas afirmaciones es precisa?
¿Informa la fuente o el sumidero?
Lo que estoy haciendo actualmente es informar que hay 300 POTENCIALES Vulnerabilidades entre scripts que pueden solucionarse dentro de una función / método.
¿Es más exacto decir que hay 1 vulnerabilidad de secuencias de comandos entre sitios que se expone en 300 ubicaciones?
Me doy cuenta de que parte de esto es subjetivo, pero estoy buscando información de otros en el campo que puedan arrojar algo de luz sobre sus métodos.