1. Zuhause
  2. Frage und Antwort
  3. Zugriffskontrolle: Datenbank (Fortify)

Zugriffskontrolle: Datenbank (Fortify)

2017-03-21 2 views
0

Wir haben das Fortify-Tool verwendet, um nach Sicherheitslücken zu suchen. Zugriffssteuerungsdatenbank-Problem, das schwer zu beheben ist.Zugriffskontrolle: Datenbank (Fortify)

`public BigDecimal getLctnId (Zeichenfolge roId) { Abfrage queryCaseId = em.createNamedQuery (" RegionalOffice.getLctnId "); queryCaseId.setParameter ("roId", roId);

BigDecimal lctnId = null; 
try { 
    lctnId = (BigDecimal) queryCaseId.getSingleResult(); 
    } catch (Exception e) { 
     } 
return lctnId; 
}

` Gibt es eine Weise, die wir stärken zeigen können, dass die Daten in der Tat von einer vertrauenswürdigen Quelle kommt?

Danke.

Quelle

2017-03-21 vasu balaga

Antwort

1

Ich bin oft mit Clients, wo Fortify eine vertrauenswürdige Datenquelle kennzeichnet.

Stellen Sie zunächst sicher, dass die Datenquelle tatsächlich vertrauenswürdig ist. Normalerweise bedeutet dies, dass es eng zugreifbar ist (nur Systemadministratoren, keine anderen Mitarbeiter und keine Benutzerdaten), verschlüsselt und protokolliert wird (falls ein Sysadmin bösartig ist). Dokumentieren Sie, dass es vertrauenswürdig ist und was das ändern könnte.

zu sagen, es ist vertrauenswürdig Fortify, gibt es 2 Möglichkeiten:

  1. dies tun, wenn alle Eingänge eines bestimmten Typs vertraut. (Also alle Dateisystemeingaben oder alle Datenbankeingaben usw.) Öffnen Sie in der Audit Workbench das Audit Guide über das Banner oben, wählen Sie Erweiterter Modus und aktivieren Sie die Kontrollkästchen, um Fortify anzuweisen, diesen Eingaben zu vertrauen. Wenn Sie zwei Datenbanken verwenden, eine vertrauenswürdige und eine nicht vertrauenswürdige, gibt es leider keine Möglichkeit, Fortify anzuweisen, nur einer dieser Datenbanken zu vertrauen.

  2. Geben Sie in der Themenzusammenfassung dieser Ausgabe (unten in der Mitte der Tabelle) einen Kommentar mit der Überschrift "Vertrauenswürdige Datenquelle, siehe [Dokument]" ein. Markieren Sie die Analyse als "Kein Problem" und unterdrücken Sie sie optional mit der roten X-Taste. (Viele Unternehmen bevorzugen Entwickler, um Probleme nicht zu unterdrücken. Wenden Sie sich an Fortify, wenn Sie für Ihr Unternehmen zuständig sind.) Dies ist ein manueller Prozess, aber Sie können Probleme mehrfach auswählen und diese Prüfung auf alle gleichzeitig anwenden.

Quelle

2017-04-06 16:57:08

Verwandte Themen

 Verwandte Themen