AdSense

網頁

2018/2/8

Checkmarx 原始碼弱點掃描檢測工具

客戶都是用這套Checkmarx來掃程式碼漏洞,大部分弱點都是來自於JSP頁面與Controller間傳遞參數時的XSS的潛在漏洞。

通常JSP的部分用JSTL的<c:out value="${ ... }"/>來處理就可解決了,主要就是要濾掉變數中的HTML(XML)的特殊符號例如<>&'"

不過總覺得這個檢查蠻智障的。

沒有留言:

AdSense