Я хочу использовать HP Fortify для сканирования проекта веб-интерфейса, реализованного с помощью структуры tapestry. Чтобы проверить, может ли Fortify находить уязвимости в гобеленовом проекте, я создал уязвимый проект и просканировал его. Проект содержал отраженную XSS-уязвимость в .tml-файле:
<t:Form t:id="testXSSForm">
<t:label for="testinputfield" />
<t:TextField t:id="testinputfield" t:value="testInput" />
<input type="submit" value="submit" />
</t:Form>
<p>
Your input is <t:OutputRaw t:value="testInput"/>
</p>
(см. более подробный пример на http://www.disasterarea.co.uk/blog/xss-vulnerabilities-in-web-frameworks-2/)
Уязвимость не была обнаружена Fortify, и я думаю, что Fortify не понимает специфичный для фреймворка .tml- файлы вообще.
Я думаю, что было бы возможно создать правило конфигурации для этого конкретного случая и пометить все вхождения "t:OutputRaw" как потенциально небезопасные, но я думаю, что правильный способ будет заключаться в создании правила источника данных для форма ввода и правило приемника данных для поля outputRaw.
Как мне это сделать? Можно ли вообще создавать правила потока данных для .tml-файлов Tapestry?
