К сожалению, в настоящее время я нахожусь в стране, которая блокирует Google, поэтому мне сложно предоставить ссылки для резервного копирования моих утверждений, но вот что вам нужно знать.
Перехват JavaScript (также известный как перехват JSON)является устаревшей проблемой безопасности, и вы не должны относиться к ней серьезно, когда Fortify жалуется на это.Короче говоря, угон JavaScript был проблемой давным-давно, когда веб-браузеры были очень незрелыми и не содержали защиты, которые они содержат сегодня.Эти браузеры теперь защищают от этого, поэтому вам больше ничего не нужно делать. Это больше не проблема безопасности (см. Ссылку).
Самое главное, что руководство Fortify («трудно угадываемый идентификатор») для предотвращения проблемы - это нонсенс.Это руководство взято из старой исследовательской работы, написанной сотрудниками Fortify, и в то время оно имело смысл из-за отсутствия других способов предотвращения атаки.Как правило, вы никогда не должны отправлять json в JavaScript eval()
- и этого будет достаточно, чтобы остановить взлом JavaScript, даже если браузеры не помешали этому.
В документации Fortify они содержат ссылку на оригинальный документ об угоне JavaScript.Когда я впервые увидел ту же проблему, я был настолько обеспокоен этой проблемой, что потратил неделю, пытаясь понять и реализовать ее (тот же пример, что и в статье) - пробуя ее в Chrome, Firefox и IE, и находячто ни одна из этих попыток атаки не сработала.Только тогда я углубился и обнаружил ссылку выше и другие о том, почему JavaScript-хакерство больше не является проблемой безопасности.
Чем больше вы используете Fortify, тем больше вы найдете много бессмысленных ложных срабатыванийи, к сожалению, это один из самых болезненных для понимания.MicroFocus не заинтересован в обновлении своих правил: когда люди пробуют Fortify и обнаруживают, что получается много результатов, которые не появляются в других инструментах, люди покупают Fortify, предполагая, что он лучше благодаря таким результатам.Правда противоположна: это не лучше, это просто вызывает больше бесполезных ложных срабатываний, которые раздражают людей, которые используют инструмент.Но люди, которые используют инструмент, обычно не люди, принимающие решение о покупке, поэтому у MicroFocus нет стимулов для обновления правил - ложные срабатывания работают в их пользу для увеличения продаж!