2016年大型软件申报系统安全扫描报告
"大型软件申报系统20161014.pdf是一个关于软件安全扫描的报告,展示了在2016年10月14日对一个名为'大型软件申报系统'的项目进行的安全审查。扫描由Checkmarx工具执行,版本为7.1.5HF3,采用了完整的扫描类别。报告中提到了扫描了253,310行代码,涉及404个文件,检测到的漏洞密度为4/10000(漏洞/LOC)。报告中还详细列出了高、中、低风险的文件以及最常见的缺陷类别。" 该大型软件申报系统的安全扫描结果显示,存在多个风险等级的漏洞,其中最高风险的文件包括CommonController.java, InController.java, ApplyServiceImpl.java, AccMapper.java和ApplyMapper.java。扫描发现了以下主要的缺陷类别和数量: 1. TrustBoundaryViolation:11个,这是一个中风险问题,通常指软件未能正确维护信任边界,可能导致敏感信息泄露或权限提升。 2. ClientDOMXSRF:9个,这是另一个中风险问题,表示客户端的Document Object Model (DOM) 可能存在跨站请求伪造(CSRF)漏洞,攻击者可能利用此漏洞执行未经授权的操作。 3. UnnormalizeInputString:8个,这表示输入字符串未进行规范化处理,可能使应用容易受到注入攻击。 4. SessionFixation:7个,这是一个高风险问题,意味着会话固定攻击可能成功,允许攻击者劫持用户会话。 5. ClientPotentialXSS:5个,表明可能存在潜在的客户端跨站脚本(XSS)漏洞,允许攻击者在用户的浏览器上执行恶意代码。 6. InputNotNormalized:5个,输入未进行规范化可能导致各种类型的注入攻击,如SQL注入或命令注入。 7. ClientPrivacyViolation:3个,这意味着软件可能泄露用户隐私数据,违反了数据保护原则。 8. ClientReDoSFromRegexInjection:2个,这是中风险问题,表示正则表达式注入可能导致拒绝服务(ReDoS)攻击,使系统性能下降。 9. UncheckedInputforLoopCondition:2个,这种问题可能导致无限循环或性能问题,因为未检查的输入可能影响循环条件。 扫描结果显示,所有问题均为新问题,无重复或已修复的漏洞。此外,所有问题均处于“等待确认”状态,意味着需要进一步评估这些漏洞是否真的构成威胁,并采取相应的修复措施。 这个大型软件申报系统存在多个安全性问题,需要开发团队深入分析并解决这些问题,以确保软件的安全性和用户的隐私。修复这些问题可能涉及代码修改、安全策略更新以及对开发人员进行安全编码培训,以防止类似问题在未来再次发生。
![](https://csdnimg.cn/release/download_crawler_static/87931171/bg10.jpg)
![](https://csdnimg.cn/release/download_crawler_static/87931171/bg11.jpg)
![](https://csdnimg.cn/release/download_crawler_static/87931171/bg12.jpg)
![](https://csdnimg.cn/release/download_crawler_static/87931171/bg13.jpg)
![](https://csdnimg.cn/release/download_crawler_static/87931171/bg14.jpg)
剩余294页未读,继续阅读
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://profile-avatar.csdnimg.cn/default.jpg!1)
- 粉丝: 232
- 资源: 7710
我的内容管理 收起
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![](https://csdnimg.cn/release/wenkucmsfe/public/img/voice.245cc511.png)
会员权益专享
最新资源
- VMP技术解析:Handle块优化与壳模板初始化
- C++ Primer 第四版更新:现代编程风格与标准库
- 计算机系统基础实验:缓冲区溢出攻击(Lab3)
- 中国结算网上业务平台:证券登记操作详解与常见问题
- FPGA驱动的五子棋博弈系统:加速与创新娱乐体验
- 多旋翼飞行器定点位置控制器设计实验
- 基于流量预测与潮汐效应的动态载频优化策略
- SQL练习:查询分析与高级操作
- 海底数据中心散热优化:从MATLAB到动态模拟
- 移动应用作业:MyDiaryBook - Google Material Design 日记APP
- Linux提权技术详解:从内核漏洞到Sudo配置错误
- 93分钟快速入门 LaTeX:从入门到实践
- 5G测试新挑战与罗德与施瓦茨解决方案
- EAS系统性能优化与故障诊断指南
- Java并发编程:JUC核心概念解析与应用
- 数据结构实验报告:基于不同存储结构的线性表和树实现
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035111.png)
![](https://csdnimg.cn/release/wenkucmsfe/public/img/green-success.6a4acb44.png)