fortify_编程技术问答社区_程序员问答知识库

以下是关于 fortify 的编程技术问答

目标[laravel \ fortify \ Contracts \ registerViewResponse]不是即时的

我有一个路由器寄存器，但我发现了错误 target [laravel \ fortify \ Contracts \ registerViewResponse]不是即时的. 解决方案您需要在config/app.php文件中注册强化服务提供商添加此 App\Providers\FortifyServiceProvider::class, config/app.php在应用程序的服务提供商下. 更新:也很重要，您指出身份验证视图的位置要加强. 寄存器视图的一个示例是: // auth.register => means your register.blade is located in `view/auth/` // folder. (All things being equal) Fortify::registerView(function () { return view('auth.register'); });

2 2023-05-30 编程技术问答社区 php laravel fortify

仅当他的身份处于活动状态时，如何在Laravel 8 Jetstream中对用户进行身份验证?

我正在构建Laravel 8应用程序，并成功实施了身份验证.现在，我想检查用户的状态是否处于活动状态，然后再记录他.我在用户表中添加了一个字段 username varchar password varchar .... status tinyint(1) ... 我正在使用 jetstream 和 fortify 谢谢解决方案您可以从app\Providers\JetStreamServiceProvider.php上自定义用户身份验证，boot方法: use App\Models\User; use Illuminate\Http\Request; use Laravel\Fortify\Fortify; public function boot() { $this->configurePermissions(); Jetstream::createTeamsUsing(CreateTeam::class); Jetstr

2 2023-05-28 编程技术问答社区 php laravel fortify laravel-8 jetstream

如何避免在节点child_process exec中的命令注入

我使用节点child_process在(通过)电子应用中打开IE浏览器.下面的代码: var cp = require('child_process'); var browser = cp.exec('start', 'iexplore', ['-private', args.url]); 当我对此代码进行加强分析时，这将提高命令注射警告.另外，此args.url是从API资源(存储在DB中)中获取的，并且与此客户端应用程序上的任何用户输入无关. 请帮助我逃脱.我也尝试了spawn，但没有成功. 解决方案作为经验法则，无论是从db提供或从db提供的用户，您都必须信任任何类型的输入. 避免使用exec()函数，然后使用execfile(). execfile()函数将执行单个命令，并且默认情况下不会产生shell，这使其比exec() 更安全 var cp = require('child_process'); var brows

34 2023-04-26 编程技术问答社区 node.js exec child-process fortify secure-coding

强化 try-with-resource 的安全问题 "未释放的资源流"。

加强安全运行非编程代码 public static A read(String path) throws IOException, ClassNotFoundException { try (ObjectInputStream os = new ObjectInputStream(new GZIPInputStream(new FileInputStream(path)))) { return (A) os.readObject(); } } 这在说"未发行的资源:流"，但它在try-with-resource内部，那是什么问题?请帮助我. 解决方案您的工具所担心的问题可能是GZIPInputStream或ObjectInputStream在实例化过程中引发异常，那么FileInputStream将不会关闭.您可以尝试以下操作: public static A read(String path) throws IOExceptio

2 2023-04-20 编程技术问答社区 java file-io fortify objectinputstream

在Eclipse中对maven项目进行强化扫描

我有Eclipse插件可加固. 但它仅在Java项目上运行. 我们有一些Java项目，但它们是基于Maven的非Java项目.我可以编辑项目的.project文件，然后将其类型更改为Java，以启用强化扫描. 但是，是否有更好的方法可以在基于Maven的项目上进行强化扫描? 编辑必须按照以下某些帖子中提到的以下步骤安装Maven Fortify插件在我的应用程序中添加了Maven Fortify插件详细信息运行翻译和扫描命令.它在项目下生成了FPR文件也请关注此有用的博客 http://fortify-maven.blogspot.in/ 我仍然有的唯一问题是: 我有多个项目，在其中创建了每个项目的FPR文件.我可以在一个地方为所有项目创建一个合并的FPR文件吗? 欢呼，索拉夫解决方案 Fortify有一个用于Maven的插件，您应该可以使用它.检查此目录: \S

0 2023-04-19 编程技术问答社区 eclipse maven fortify

强化命令行的使用

是否有人使用命令行来强化? 我试图将强化运行纳入我的CI构建中，我不知道该怎么做. 解决方案由于我无法添加评论，因此我必须将其作为答案.我们公司将扫描过程集成到我们的TFS构建环境中，并且效果很好. 我们使用一系列"调用过程"构建活动来实现这一目标.整个安全扫描序列都包裹在条件上，该条件是作为构建定义的参数所示.这使我们能够根据需要启用或禁用扫描.我们还揭露了其他一些事情，例如强化项目，强化项目版本以及上传FPR文件的另一种条件. 要点是: 清洁 sourceanalyzer -b "Build ID" -clean 构建 sourceanalyzer -b "Build ID" devenv BuildID.sln /Rebuild Debug /out "C:\SSCLogs\SSCBuild.log" 扫描 sourceanalyzer -b "Build ID" -scan -format fpr -f BuildID.f

58 2023-03-27 编程技术问答社区 c# security command-line configuration fortify

加强与Maven安装的集成

我想对一个紧身的日食项目进行强化扫描. 我应该从哪里开始? 我知道我需要更新我的pom.xml文件以包含强化插件，但是我还需要在计算机上安装强化SCA吗? (我正在运行MacOS X).我一直在试图找到一个下载Fortify SCA的地方，但找不到它. 如果有人可以共享一些链接以使我朝着设置完成的正确方向指向我，我将不胜感激. 解决方案我不认为需要加固安装，但是如果没有它，就很难获取Maven SCA插件.如果您在另一台计算机上安装，则可以仅复制插件，但是您将没有审核工作台应用程序与生成的FPR一起使用.正如 @ @ericer所说，您必须通过HP获得它，并且没有许可证就无法正常工作. 安装了此操作后，您会向您的pom.xml添加配置文件以执行SCA目标: sca-clean false

16 2023-03-23 编程技术问答社区 java eclipse maven fortify fortify-source

从Fortify sourceanalyzer命令行获取文本输出

与问题有关: fortify命令行用法/p> 我想对由TeamCity的命令行跑步者触发的.NET解决方案进行夜间强化扫描.我想将结果的自定义摘要发布到网页上. 我想要的关键信息是每个关键级别的问题数量. 我以前已经使用了-f命令行开关供审计工作台客户端使用，但是结果.fpr文件看起来很难解析和手动解释. 我正在使用Fortify Static Code Analyzer 5.15.0.0060，似乎没有一个可以用来指定文本的选项. 有没有办法获得扫描发现的问题的数量? 解决方案使用reportgenerator实用程序.它是专门为此目的而设计的.

36 2023-03-22 编程技术问答社区 c# security command-line teamcity fortify

将Fortify文件（.fpr文件）转换为PDF文件

基本上，我试图从.fpr sugate中的强化报告文件中生成PDF文件. 任何人都可以建议我一些可以通过.bat文件访问的实用工具. 我正在尝试执行以下命令: 即.. ReportGenerator -format pdf -f MyProject.pdf -source MyProject.fpr 任何人都可以帮助我从.fpr文件生成PDF文件?? 预先感谢. 解决方案有一个命令行实用程序可以从FPR文件生成报告. 目前有两个报告发电机:旧版和Birt. BIRT报告引擎被引入使用4.40版的审计工作台. 这是使用Birt报告引擎生成DISA Stig报告的示例 BIRTReportGenerator -template "DISA STIG" -source HelloWorld_second.fpr -output BirtReport.pdf -format PDF -showSuppressed --Version "

118 2023-03-17 编程技术问答社区 code-coverage fortify

如何强迫cmake使用没有全路径的cl.exe？

我正在构建使用CMAKE的开源项目(KST，v2.0.8).我正在使用CMAKE v2.8.12.2和MSVC 2008作为编译器，并正在生成Nmake Makefiles在命令行中构建它.我可以通过此设置成功构建它.这些版本是强制性的，因此我目前无法使用以后的CMAKE或MSVC. 我需要能够使用HP的强化对KST进行源代码分析，并能够从命令行中使用它，以两种方式工作: 无触摸模式在其中创建自己的" cl.exe"，在通往真实cl.exe的路径之前设置了通往它的路径，因此在构建过程中启动. 将Makefile中的编译器设置为加固命令行，例如sourceanalyzer -b build_id cl而不是cl. 无论哪种方式，我都需要强制CMAKE生成其makefiles的编译器，以使其成为CMAKE不会自动检测到的东西. 我尝试在 cmake -DCMAKE_C_COMPILER=cl -DCMAKE_C_COMPILER_FORCED=ON -DCMAK

58 2023-03-16 编程技术问答社区 c++ cmake nmake fortify cl

原木锻造加固固定

我正在使用Fortify SCA在我的应用程序中找到安全问题(作为大学作业).我遇到了一些"日志锻造"问题，这些问题无法摆脱. 基本上，我记录了一些从Web界面输入作为用户输入的值: logger.warn("current id not valid - " + bean.getRecordId())); 和强化将其报告为日志锻造问题，因为 getRecordId()返回用户输入. 我遵循此文章，我正在用空间替换"新线"，但仍然报告了问题 logger.warn("current id not valid - " + Util.replaceNewLine(bean.getRecordId())); 任何人都可以建议一种解决此问题的方法吗? 解决方案 Alina，我实际上是您用来解决日志注射问题的文章的作者.希望这有用. Vitaly在强化方面是正确的.您需要构建强化称为"自定义规则"的内容. 这可能是数据流清洁规则.可以在此处找到一

6 2023-03-13 编程技术问答社区 java security logging fortify log-forging

如何修复C#中的日志伪造

我正在使用log4net登录我的Web API应用程序.我正在使用以下代码来记录数据库中的错误和错误. public async Task ExecuteNonQuery(string procedureName,params SqlParameter[] parameters) { try { this.logger.DebugFormat("{0} stating call",procedureName); ...... ...... ...... } further code 当我施加强化扫描时，它给了我日志锻造问题.有什么想法我们如何解决这个问题.我尝试了以下代码，但没有工作 procedureName = Regex.Replace(procedureName, "[^ A - Za - z0 - 9 $]", string.Empty); 解决方案强化正在防止为了对抗这一点，必须仔细控制日志文件中使用的用户输入的哪些部分

2 2023-03-13 编程技术问答社区 c# log4net fortify

密钥管理。chart.js的硬编码加密密钥

我面临与"密钥管理:硬编码的加密密钥"有关的问题.我们正在为安全目的使用强化扫描.如何避免"硬编码的加密密钥". 扫描后，我们找到了图表中的硬编码的代码线.有什么方法可以解决此问题. var axisType = helpers.getValueOrDefault(valueObj.type, key === 'xAxes' ? 'category' : 'linear'); 解决方案分析了Chart.js代码文件后，我们发现没有硬码加密密钥. 键是可变名称. HP强化将"键"单词确定为加密密钥.这些不是加密密钥，它是一个可变名称.因此，这是一个假阳性.

18 2023-03-10 编程技术问答社区 javascript encryption chart.js xss fortify

如何解决强化报告的过程控制

我正在处理以下过程控制问题，该问题由Fortify报告，该问题在 https://vulncat.fortify.com/en/detail?id=desc.dataflow.abap.abap.process_control#c%2fc%2b%2b P> filename.c中的function load()在第3行上调用dlopen().呼叫加载库未指定绝对路径. 它可能会使用攻击者提供的恶意库导致该程序. 我具有以下功能，该功能在不同的代码中被调用. void* load(char* name) { void* handle; handle = dlopen(name, RTLD_LAZY | RTLD_GLOBAL); return(handle); } void somefunc() { void *login_module_handle = load("/home/myuser/load_this_shared_lib.so

22 2023-03-09 编程技术问答社区 c linux fortify fortify-source mitre-attck

如何将使用Laravel Livewire分类的数据发送以加强?

我根本不熟悉vue.js，所以使用Livewire找到了一个很好的替代品. 我要解决的挑战是使用Fortify + Livewire在我的网站上进行用户友好的注册.注册过程是一个多步骤，取决于用户将加载相对字段的选择. 到目前为止，我通过在FortifyServiceProvider.php中添加以下代码来设置强化视图: Fortify::loginView(function () { return view('auth.login'); }); Fortify::registerView(function () { return view('auth.register'); }); auth/login.blade.php查看加载LiveWire组件，这基本上是一种形式:

2 2023-03-03 编程技术问答社区 laravel fortify laravel-livewire custom-authentication

Laravel 8 Fortify登录说429个请求太多

我遇到了与429个请求有关的问题.我使用了Laravel Fortify，我的网站就像 Route::get('/', function () { return view('welcome'); }); Route::get('/dashboard','DashboardController@dashboardView') ->name('dashboard')->middleware('auth'); 问题是间歇性的，成功的登录后，我将我重定向到仪表板，如果我立即登录并立即尝试登录它，它给出了429个请求，并且在地址栏中，url url是 http://127.0.0.0.1:8000/login .现在，如果我在那里等待一秒钟并刷新页面，则它将重定向到仪表板页面. 我已经搜索了网络，每个人都在谈论油门，而我并没有将其视为解决方案.请帮我. 谢谢. 解决方案我今天偶然发现了同样的问题，并进行了一些调试.注册/登录路由时，Fortify将Ill

4 2023-03-03 编程技术问答社区 laravel laravel-8 fortify

Laravel Fortify自定义认证重定向

在自定义身份验证过程中的Laravel Fortify中，我无法重定向到登录页面，并使用我们能够在AUTH中执行的错误消息. 这是自定义文档链接: if ($user && Hash::check($request->password, $user->password) && $user->status == 'active') { return $user; } elseif ($user->status == 'inactive') { //redirect with some error message to login blade } elseif ($user->status == 'blocked') { //redirect with some error message to login blade } 请帮助我. 解决方案对于来自使用Laravel Jetstream的Google搜索者(使用fortify): Snapey laracasts 制作了一

0 2023-03-03 编程技术问答社区 laravel authentication redirect fortify laravel-8

Fortify在扫描Visual Studio项目时抛出错误

我正在尝试在Visual Studio 2008项目中进行强化.该项目独自成功建立.当我尝试使用Visual Studio集成控件通过Fortify分析项目时，该项目成功构建，但会抛出错误消息.这是Fortify Console的输出: Fortify SCA... Running: "-show-runtime-properties" Running: "-b" "ProjectName" "-clean" Error setting VCProject Path. Abort VC project related scan Scan Failed Could not load file or assembly 'Microsoft.VisualStudio.VCProjectEngine, Version=8.0.0.0, Culture=neutral, PublicKeyToken=' or one of its dependencies. T

28 2023-03-01 编程技术问答社区 c++ visual-studio-2008 fortify

在Laravel 8中注册后，如何禁用自动登录?

在将Laravel 8与强化中使用，所以我没有 app \ http \ controllers \ auth \ register controller 预先感谢解决方案首先，您必须在app\Http\Controllers\Auth中最好创建一个控制器RegisteredUserController，在此控制器中，您必须覆盖类的方法 store nocenduseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseDuseconTroller . 将store方法复制到新控制器并删除行$this->guard->login($user);. 应该看起来像这样:

10 2023-02-27 编程技术问答社区 laravel fortify

HP Fortify : ASP.NET的不良做法。会话中存储的不可序列化的对象

httpcontexthelper.cs中的方法set_useractiveenvironments()在第47行上以HttpsessionState属性作为httpsessionState属性存储一个非serializable的对象，该属性可能会损坏应用程序可靠性默认情况下，ASP.NET服务器存储HttpsessionState对象，其属性和它们在内存中引用的任何对象.该模型将主动会话状态限制为单个计算机的系统内存可以容纳的状态.为了扩展能力超出这些限制，服务器经常被配置为持续的会话状态信息，既可以扩展容量，又允许在多台机器上复制以提高整体性能.为了坚持其会话状态，服务器必须序列化httpsessionstate对象，该对象要求存储在其中的所有对象均可序列化. 为什么它表明是一个漏洞，我该如何修复? 解决方案 Mohanraj，也许您已经找到了解决方案，但是以下是一个合理的解释: HP强化指示有一些假阳性，这就是为什么您需要在每个漏洞上通过情况进行分析的原

8 2023-02-23 编程技术问答社区 asp.net c#-4.0 fortify fortify-source ggfortify