繼續對Fortify的漏洞進行總結，本篇主要針對 Portability Flaw: File Separator 和 Poor Error Handling: Return Inside Finally 漏洞進行總結，如下： 1、Portability Flaw: File ...

1.代碼注入 1.1 命令注入 命令注入是指應用程序執行命令的字符串或字符串的一部分來源於不可信賴的數據源，程序沒有對這些不可信賴的數據進行驗證、過濾，導致程序執行惡意命令的一種攻擊方 ...

portability flaw : file separator (可移植性缺陷:文件分隔符) 問題產生原因： 主要是文件地址上采用硬編碼導致 如 “\\” 解決方案： 采用：Path.Combine 和 Path.DirectorySeparatorChar ...

　　繼續對Fortify的漏洞進行總結，本篇主要針對 Denial of Service: Regular Expression 漏洞進行總結，如下： 1、Denial of Service: Regular Expression 1.1、產生原因： 　　實施正則表達式評估程序及相關方法 ...

前段時間公司又一輪安全審查，要求對各項目進行安全掃描，排查漏洞並修復，手上有幾個歷史項目，要求在限定的時間內全部修復並提交安全報告，也不清楚之前是如何做的漏洞修復，這次使用工具掃描出來平均每個項目都還有大概100來個漏洞。這些漏洞包括SQL語句注入，C#后端代碼，XML文件 ...

　　公司最近啟用了Fortify掃描項目代碼，報出較多的漏洞，安排了本人進行修復，近段時間將對修復的過程和一些修復的漏洞總結整理於此！ 　　本篇先對Fortify做個簡單的認識，同時總結一下sql注入的漏洞！ 一、Fortify軟件介紹 　　Fortify是一款能掃描分析代碼漏洞的強大 ...

　　繼續對Fortify的漏洞進行總結，本篇主要針對 Path Manipulation（路徑篡改）的漏洞進行總結，如下： 1、Path Manipulation（路徑篡改） 1.1、產生原因： 當滿足以下兩個條件時，就會產生 path ...

　　繼續對Fortify的漏洞進行總結，本篇主要針對 Access Control: Database（數據越權）的漏洞進行總結，如下： 1、Access Control: Database（數據越權） 1.1、產生原因： Database access control 錯誤在以下 ...