问题标签 [checkmarx]

我不断从 Checkmarx 代码扫描器中收到这个烦人的错误，

这是我的代码。我想我做了所有必要的验证。还有什么？？？

一定有一些缺失的验证。如何使用 Spring Boot 正确验证 HTTP GET

你好！我担心 checkmarx 扫描的可靠性。

我创建了一个只有两个文件的 checkmarx 项目：

• library.minified.js
• library.formatted.js

我已经使用beautifier.io从library.formatted.js. library.minified.js没有其他变化；除了空白格式更改外，这两个文件完全相同。

令人担忧的是，checkmarx 对两个相似文件的安全威胁不同。特别是它在缩小版中感知到了几个高风险项目，而在格式化版本中没有高风险项目。

如果两个 javascript 文件的格式相同，为什么 checkmarx 会在每个文件中感知不同的安全威胁？

如果空白（JS 解释器会忽略的一个因素）影响评估，我如何相信 checkmarx 的判断？

我的CheckMarx代码扫描和“没有完整性检查的代码下载”问题发生在；

或者

我的系统设计需要这些功能，我必须使用这些。

我怎样才能防止这个问题？

感谢帮助。

Checkmark 扫描了我们的代码并显示这些代码存在二次注入的风险 代码如下

我们的代码使用preparedStatement来执行sql。但是为什么这些代码仍然存在风险，我该如何解决呢？

我在 Jenkins 中配置了一个 Checkmarx 作业，我想将该作业与存储库的实际构建作业集成。在我的 Jenkinsfile 中，我将其配置为一个阶段并执行该作业。

问题是我如何听取 Checkmarx 作业的失败并相应地更改我的构建作业的状态？这是我的 JenkinsFile 的一个片段

Checkmarx 抱怨我们的 Web 应用程序中存在 XSRF 问题。我们正在使用带有框架 4.0（不是 MVC）的 ASP.NET Web 表单

Checkmarx 说：方法 btnSubmit_Click 在 \ABC.aspx.vb 的第 1760 行从元素文本中获取用户请求 URL 的参数。该参数值流经代码，最终用于修改数据库内容。应用程序不需要为请求更新用户身份验证。这可能会启用跨站点请求伪造 (XSRF)。

关于如何防止 ASP.NET Webform 应用程序中的 XSRF 的任何想法？

我们尝试了很多解决方案，但没有一个通过 Checkmarx：以下是我们尝试的一些方法：
https
://software-security.sans.org/developer-how-to/developer-guide-csrf 或

http://willseitz-code.blogspot.com/2013/06/cross-site-request-forgery-for-web-forms.html?m=1
或

https://security.stackexchange.com/questions/187740/two-solutions-for-csrf-on-owasp-for-asp-net-webforms

我认为上述解决方案应该可以保护/防止我们的 Web 表单免受 CSRF/XSRF 风险，但为什么 Checkmarx 无法检测到它？这是误报吗？

以下功能是否比使用 memcpy 更安全？Memcpy 在 Checkmarx 静态代码分析中给出以下“Improper_Null_Termination”错误： at 行中的字符串被 at 剥离其终止空字节。但是，如果我使用以下函数，Checkmarx 没有问题：

使用这个函数代替 memcpy() 有什么问题吗？

我想在 Checkmarx 仪表板页面上获取所有项目的所有 Checkmarx 扫描详细信息。如何使用从 shell 或 python 脚本调用的 Checkmarx API 执行此操作？

任何人都可以在以下 getCourses 方法中建议 courseType 变量所需的正确清理/验证过程。我正在使用该变量写入日志文件。

我试过 HtmlUtils.HtmlEscape() 但没有得到预期的结果。

谢谢！

Checkmarx 扫描器会扫描“Reflected XSS all clients”。如何在 JAVA REST API 中解决这个问题？

在本地运行 REST API 服务扫描。