2018-04-15
Fortify SCA v17.20 對 hideShowPassword 會有 Critical 和 High 的誤判。
Password Management: Password in HTML Form
index.html:64 ( Password Management: Password in HTML Form )
Critical 的是 index.html 範例檔案,可以直接刪除。
High的是下面兩個檔案
hideShowPassword.js
hideShowPassword.min.js
解決方法
解決方法可以下面兩個檔案中 Password 字串全部換掉 (例如換成 Passwoord,多一個 o )
hideShowPassword.js
hideShowPassword.min.js
但是 Default.aspx 中用到的函數方法要更著換
.hidePassword 換成 .hidePasswoord
.showPassword 換成 .showPasswoord
.hideShowPassword 換成 .hideShowPasswoord
(下圖) 掃描後不會有誤判
但是這不是好方法,因為 hideShowPassword 一旦更新版本,改掉的東西會被覆蓋回去,又要改一次,最好是 hideShowPassword 的原作者去解決這個問題,這有賴大家向作者反映。
(完)
相關
[研究][JavaScript]切換顯示和隱藏密碼
https://shaurong.blogspot.com/2019/02/javascript.html
[研究][JavaScript] CKeditor 4.9.1 與 Fortify SCA v17.20
http://shaurong.blogspot.com/2018/04/javascript-ckeditor-491-fortify-sca.html
[研究][ASP.NET][JavaScript]hideShowPassword 與 Fortify SCA 白箱測試
http://shaurong.blogspot.com/2018/04/aspnetjavascript-hideshowpassword.html
[研究][ASP.NET][JavaScript]hideShowPassword 元件安裝、試用
http://shaurong.blogspot.com/2017/11/aspnet-hideshowpassword.html
沒有留言:
張貼留言