继续对Fortify的漏洞进行总结，本篇主要针对 Portability Flaw: File Separator 和 Poor Error Handling: Return Inside Finally 漏洞进行总结，如下： 1、Portability Flaw: File ...

1.代码注入 1.1 命令注入 命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源，程序没有对这些不可信赖的数据进行验证、过滤，导致程序执行恶意命令的一种攻击方 ...

portability flaw : file separator (可移植性缺陷:文件分隔符) 问题产生原因： 主要是文件地址上采用硬编码导致 如 “\\” 解决方案： 采用：Path.Combine 和 Path.DirectorySeparatorChar ...

　　继续对Fortify的漏洞进行总结，本篇主要针对 Denial of Service: Regular Expression 漏洞进行总结，如下： 1、Denial of Service: Regular Expression 1.1、产生原因： 　　实施正则表达式评估程序及相关方法 ...

前段时间公司又一轮安全审查，要求对各项目进行安全扫描，排查漏洞并修复，手上有几个历史项目，要求在限定的时间内全部修复并提交安全报告，也不清楚之前是如何做的漏洞修复，这次使用工具扫描出来平均每个项目都还有大概100来个漏洞。这些漏洞包括SQL语句注入，C#后端代码，XML文件 ...

　　公司最近启用了Fortify扫描项目代码，报出较多的漏洞，安排了本人进行修复，近段时间将对修复的过程和一些修复的漏洞总结整理于此！ 　　本篇先对Fortify做个简单的认识，同时总结一下sql注入的漏洞！ 一、Fortify软件介绍 　　Fortify是一款能扫描分析代码漏洞的强大 ...

　　继续对Fortify的漏洞进行总结，本篇主要针对 Path Manipulation（路径篡改）的漏洞进行总结，如下： 1、Path Manipulation（路径篡改） 1.1、产生原因： 当满足以下两个条件时，就会产生 path ...

　　继续对Fortify的漏洞进行总结，本篇主要针对 Access Control: Database（数据越权）的漏洞进行总结，如下： 1、Access Control: Database（数据越权） 1.1、产生原因： Database access control 错误在以下 ...