1、漏洞总数
AppScan Source:91
Fortify:121
2、Disclaimer.htm:34(Cross-Site Scripting:DOM)的漏洞Fortify能扫描出来,AppScan Source扫描不出来
另外,Fortify能扫描出比较多Persistent类型的XSS漏洞
并且归类比较好(分DOM、Persistent、Reflected类型列出)
3、AdminLoginServlet.java:35(Password Management:Hardcoded Password)的漏洞Fortify能扫描出来,AppScan Source扫描不出来
4、Fortify扫出的DBUtil.java:238(Access Control:Database)在AppScan中被归类到SQL Injection
5、admin.jsp:18(Password Management:Empty Password)属于误报
<script language="javascript">
function confirmpass(myform)
{
if (myform.password1.value.length && (myform.password1.value==myform.password2.value))
{
return true;
}
else
{
myform.password1.value="";
myform.password2.value="";
myform.password1.focus();
alert ("Passwords do not match");
return false;
}
}
</script>
6、Fortify会报比较多这类问题:
Code Correctness:Class Does Not Implement equals
Hardcoded Domain in HTML
Hidden Field
J2EE Bad Practices
J2EE Misconfiguration
Missing Check against Null
Password Management:Password in Comment
Poor Error Handling
System Information Leak:Incomplete Servlet Error Handling
7、Fortify会报比较多transfer.jsp:32(Cross-Site Request Forgery)这类CSRF的问题,而AppScan Source没有扫出来
8、Fortify有扫出ServletUtil.java(Missing XML Validation)的问题,而AppScan Source没有扫出来
9、Fortify有扫出AdminServlet.java:65(Redundant Null Check)的问题,而AppScan Source没有扫出来
对比AppScan Source和Fortify扫描AltoroJ的结果
发表于:2017-01-09
作者:网络转载
来源:
 相关文章
2021年10大流行软件测试工具 终极Web应用性能和压力测试工具Gor 谈软件自动化测试工具的评测方法 Python实现Awvs自动化扫描 VectorCAST-自动化软件测试工具- 周排行
- 月排行
-   GUI自动化回归测试工具Squish
-   Python实现Awvs自动化扫描
-   12个强大的Web服务测试工具
-   增强型MonkeyRunner脚本计划
-   安卓手机自动化测试工具是什么
-   移动客户端测试常用工具
-   Spirent TestCenter Application升级到2.4的问题处理
-   GUI自动化回归测试工具Squish
-   12个强大的Web服务测试工具
-   增强型MonkeyRunner脚本计划
-   使用AUTO RUNNER进行WEB测试的体会
-   2021年10大流行软件测试工具
-   Python实现Awvs自动化扫描
-   Spirent TestCenter Application升级到2.4的问题处理