Checkmarx V9.4 在 Heap_Inspection 的改變(ASPX)

前言

之前在 ASP.NET WebForm ASPX 中,只要有 Password 等機敏性名稱的元件、屬性及變數都會被 Checkmarx 找出 Heap Inspection ,例如登入頁面的 <asp:TextBox ID="txtPassword" TextMode="Password" runat="server"></asp:TextBox> 欄位。而且該問題還是中風險(在 Checkmarx V8.9測試)。

Checkmarx V9.4

把相同的程式碼放到 Checkmarx V9.4 有以下幾點改變,

  1. 風險等級由變成了低風險
  2. 全域屬性/變數才會被判斷為 Heap Inspection 風險

所以只要在 Login 的事件處理中,接收到 Password 欄位值,
並進行使用者帳/密驗證,在 Checkmarx V9.4 中判斷出 Heap_Inspection 的風險。

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw