欢迎光临
梦想从学习开始!

对比AppScan Source和Fortify扫描AltoroJ的结果| 小熊测试

本文主要介绍 对比AppScan Source和Fortify扫描AltoroJ的结果| 小熊测试,小熊希望对大家的学习或者工作具有一定的参考学习价值,在测试领域有所提升和发展

  1、漏洞总数

  AppScan Source:91

  Fortify:121

  2、Disclaimer.htm:34(Cross-Site Scripting:DOM)的漏洞Fortify能扫描出来,AppScan Source扫描不出来

  另外,Fortify能扫描出比较多Persistent类型的XSS漏洞

  并且归类比较好(分DOM、Persistent、Reflected类型列出)

  3、AdminLoginServlet.java:35(Password Management:Hardcoded Password)的漏洞Fortify能扫描出来,AppScan Source扫描不出来

  4、Fortify扫出的DBUtil.java:238(Access Control:Database)在AppScan中被归类到SQL Injection

  5、admin.jsp:18(Password Management:Empty Password)属于误报

<script language="javascript">

function confirmpass(myform)

{

if (myform.password1.value.length && (myform.password1.value==myform.password2.value))

{

return true;

}

else

{

myform.password1.value="";

myform.password2.value="";

myform.password1.focus();

alert ("Passwords do not match");

return false;

}

}

</script>

  6、Fortify会报比较多这类问题:

Code Correctness:Class Does Not Implement equals

Hardcoded Domain in HTML

Hidden Field

J2EE Bad Practices

J2EE Misconfiguration

Missing Check against Null

Password Management:Password in Comment

Poor Error Handling

System Information Leak:Incomplete Servlet Error Handling

  7、Fortify会报比较多transfer.jsp:32(Cross-Site Request Forgery)这类CSRF的问题,而AppScan Source没有扫出来

  8、Fortify有扫出ServletUtil.java(Missing XML Validation)的问题,而AppScan Source没有扫出来

  9、Fortify有扫出AdminServlet.java:65(Redundant Null Check)的问题,而AppScan Source没有扫出来

 

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持小熊分享邦(www.xxfxb.com),希望大家能坚持软件测试之路,谢谢。

赞(0) 打赏
未经允许不得转载:小熊分享邦 » 对比AppScan Source和Fortify扫描AltoroJ的结果| 小熊测试

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏