Checkmarx | 明明是 Client 端的 JavaScript,Checkmarx 卻出 JavaScript_Server_Side_Vulnerabilities 的相關 Issues

前言

Checkmarx 的 Preset 在 JavaScript 是包含 Client 與 Server 端(NodeJS),
當直接使用預設的 OWASP TOP 10 - 2017 去掃 ASP.NET MVC 專案時,
卻會被掃出 JavaScript\Cx\JavaScript_Server_Side_Vulnerabilities\Stored_XSS 等 NodeJS 的問題。
所以解法之法就是自定 Preset , Clone 自 OWASP TOP 10 - 2017 ,
並取消勾選 JavaScript_Server_Side_Vulnerabilities 。

解法

於是在 Jenkins 那設定好自定的 Checkmarx Preset 後,讓 Checkmarx 重新掃一次。
QQ
結果原本的 JavaScript\Cx\JavaScript_Server_Side_Vulnerabilities\Stored_XSS 還是被掃出來。
在 Checkmarx 看專案的 Preset 的確是 自定的Preset 。

後來同事 Fenny 說是因為 「異動掃描」,也就是因為為了掃描效率,
在 Jenkins 的 Checkmarx 設定,通常會將 Incremental 選項勾起來。

所以取消勾選 Incremental 再讓 Checkmarx 掃一次後,
JavaScript\Cx\JavaScript_Server_Side_Vulnerabilities\ 的 Issue 就沒有出現了。

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw