我的公司要求我们的ASP.NET代码在发布代码之前通过Fortify 360扫描。我们使用AntiXSS来净化HTML输出。我们也验证输入。不幸的是,他们最近更改了Fortify正在使用的“模板”,现在它将所有AntiXSS调用标记为“不良验证”。这些调用正在做一些事情,比如AntiXSS.HTMLEncode(sEmailAddress)。Fortify和AntiXSS
任何人都知道什么会满足Fortify?很多标记输出的地方都是从数据库来的,而从来没有从用户那里得到,所以如果HTMLEncode不够安全,我们不知道是什么!
哦,亲爱的,这是自动化工具的问题 - 误报。我建议使用Fortify记录支持票 - AntiXSS不应该用这种方式标记。我现在是AntiXSS的所有者,所以如果Fortify想要有人交谈,那么你可以把它们指向我,bdorrans @ thatbigborgdomainname :) – blowdart 2010-07-15 14:45:03
我们确实这样做了,他们说AntiXSS还不够好。我们问什么是,我们还在等待答案。我想看看其他人如何绕过这个BS。 – 2010-07-15 14:57:33
哈,很好。虽然措辞很有趣,但若想更多地了解它,AntiXSS当然不会被验证,它只需要您提供并编码它。也许它在这之前期待一些验证。 – blowdart 2010-07-15 16:16:07