Veracode能检测到jsp文件中的漏洞吗？

Question

我们选择了Veracode来执行JavaEE代码的安全性评估。我们一直在使用Veracode进行白盒安全测试。由于我对Veracode非常陌生，所以我惊讶地发现我们不完美的jsp文件没有结果。所有的结果都在几个服务器上。此外，我们没有在Manager类和服务类(后端代码)中找到任何结果。请指点。我在这里错过了什么？

Answer 1

你好，谢谢你的反馈。我可以在这里向您提供一些一般信息，并就我们如何深入您的具体应用程序提供建议。

首先，Veracode确实支持JSP。我们通常在提交时预编译JSP，这样我们就可以确保我们有了所有必要的支持部分，然后我们将分析生成的字节码和编译后的Java代码的其他部分。

当客户上传JSP时，有几件事情可能出错：

1. 联合来文无法汇编。当上传中没有JSP所需的支持库，或者JSP处于不可编译状态时，就会发生这种情况。我们会在prescan报告中报告任何JSP编译失败的情况，所以如果您看到这些问题，这通常表明我们无法分析JSP的内容。如果您看到这些警告，请检查是否缺少一个类依赖项，并查看是否可以上传它，这样我们就可以获得一个良好的JSP编译版本。
2. 有个包装问题。虽然我们可以处理几种不同的打包您的应用程序的方法，但是如果您将web应用程序上传为一个正确打包的WAR文件(包括web.xml )，Veracode服务将获得最好的效果。如果您上传以不同方式打包的应用程序，我们可能无法将JSP放在适当的上下文中进行分析。这是我们正在研究的领域，因为我们意识到并不是每个Java应用程序服务器都需要WAR，而且您可能使用不同的模型进行部署。
3. 我们不支持您的一个框架。因为Veracode对应用程序进行了完整的数据和控制流分析，所以我们需要了解可能影响控制流的一切，包括框架。我们通常也尝试在上传时调用不受支持的框架；显然，这不是您能够通过快速修复解决的问题，但是我们试图尽可能透明地处理我们可以分析的和不能分析的内容。

撇开所有这些不说，当涉及到您的应用程序时，我们可能只是在引擎中出现了一个问题。最好的做法是与我们的服务团队安排一次读出，这样我们就可以与您一起查看您的结果，并为您的特定应用程序提供建议。根据您的订阅，您可能在UI中直接有一个"Request“按钮；如果没有，请在veracode.com的支持处与我们联系，我们将看看我们能做些什么来回答您的担忧。