Notice
Recent Posts
Recent Comments
Link
«   2025/06   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30
Tags more
Archives
Today
Total
관리 메뉴

의미없는 블로그

[Fortify] Insecure Transport 본문

# 나/source Code

[Fortify] Insecure Transport

SaltLee 2025. 3. 12. 16:23

http 로 요청하면 취약으로 잡는건데

 

login.js 파일에서 http.request 때문에 잡혔다

http.request({
  url: "pages/framework/data/LoginUser.json",
  before: (iMapper, oMapper, header) => { 
    header.set({
      "userId": this.LoginUser.getData(0, "userId"),
      "pswd": this.LoginUser.getData(0, "pswd")
    });
  ...
});

 

SAST 도구는 http.request()에서 URL이 명확하지 않을 경우, 기본적으로 HTTP를 사용한다고 판단할 수 있음

아래처럼 명확하게 https 가 확인되면 안잡힐거임

http.request({
  url: "https://example.com/pages/framework/data/LoginUser.json",
  before: (iMapper, oMapper, header) => { /* 생략 */ }
  ...
});

 

'# 나 > source Code' 카테고리의 다른 글

[Fortify] Cross-Site Scripting: DOM  (2) 2025.03.12
Fortify 탐지 패턴 (Path Manipulation)  (0) 2024.12.24
[XSS] Content-Disposition: attachment  (0) 2024.12.23
[ASP.NET.C#] Stored XSS 취약점  (0) 2024.05.24
소스코드 진단용  (0) 2024.05.10
'# 나/source Code' Related Articles more
Comments