היי בר גל,

להלן תוצאות בדיקת סקר קוד שנערכה.

אנא התייחסותך לממצאים ותיקונם בהתאם

 

 

 

היי שירין,

מצ"ב דוח של מערכת CHECKMARX

 

צריך לעבור עליו לבחון מול האפליקציה מה רלוונטי וניתן לטפל.

 

עיקר הממצאים מבחינתנו שדורשים התייחסות הינם:

1.      Reflected XSS

מצ"ב תמונה עם סימון בצהוב על המיקומים בהם ניתן לטפל בממצא זה באופן רוחבי

 

 

יש צורך לבצע בדיקות קלט ולאפשר אך ורק את התווים הנדרשים באמצעות ביטוי רגולרי, כמו אן לבצע Html Encoding לתוכן החוזר למשתמש ולא לבצע סינון ידני כמו בדוגמה הבאה הקיימת בקוד:

 

2.      Data Filter Injection

חסר בדיקות קלט והנתון ישר נכנס

 

3.      Heuristic_SQL_Injection

בדומה לממצא קודם: חסר בדיקות קלט והנתון ישר נכנס

 

4.      Heuristic_Stored_XSS

שליפת מידע והצגתו בתגיות HTML ללא קידוד הפלט, יש לבצע Html Encoding

 

5.      Information_Exposure_Through_an_Error_Message

חשיפת שגיאות למשתמש – אין לחשוף שגיאות למשתמש אלא לרשום ללוג ולחשוף למשתמש שגיאה כללית המוגדרת מראש

6.      Client_Use_Of_JQuery_Outdated_Version Version

שימוש בספריית JQUERY ישנה – יש לעדכן לגרסת JQUERY חדשה

7.      Client_Potential_ReDoS

נמצא כי קיים שימוש בביטוי רגולרי אשר יכול לגרום למניעת שירות בצד המשתמש עקב כך שקלט זדוני יגרום לבדיקה אינסופית

 

 

בברכה,

יוגב

 

תוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות