Ich denke, hier ist die am einfachsten zu verstehende Website. Wie auf derselben Site beschrieben, eine Bibliothek mit einer bekannten Sicherheitsanfälligkeit für ein Modul Es ist ein Tool, mit dem Sie überprüfen können, ob Sie es verwenden.
Ursprünglich ein Tool für Java-Apps und .NET-Apps, unterstützt es jetzt Folgendes als Prototyp.
OS:CentOS 7.7 OWASP dependency check:5.3.0
Ich habe die CLI-Version verwendet, aber gemäß Handbuch Als ich den Proxyserver, den Proxy-Port und die Proxy-Authentifizierungsinformationen als Argumente angegeben und ausgeführt habe, wurde ich getrennt und Ausnahme. .. .. Ich habe die folgende bekannte Fehlermeldung darin gefunden.
Caused by: java.io.IOException: Unable to tunnel through proxy. Proxy returns "HTTP/1.1 407 Proxy Authentication Required"
Ende. .. .. Wenn die erforderliche Proxy-Authentifizierung angezeigt wird, obwohl Proxy-Informationen angegeben sind. .. ..
# Ursache
Die Ursache war, dass ab Java 8 Update 111 standardmäßig keine Standardauthentifizierung für das Tunneln verwendet wurde, wenn eine Verbindung zu HTTPS im Paket java.net hergestellt wurde.
#### **`Referenz-URL: https://www.oracle.com/technetwork/java/javase/8u111-relnotes-3124969.html`**
Es gibt jedoch eine Lösung, und die folgenden Optionen sollten hinzugefügt werden, wenn Java ausgeführt wird.
-Djdk.http.auth.tunneling.disabledSchemes=""
# Lösungen
Ich kenne die Lösung, weiß aber nicht, wie ich sie als Tool für OWASP anwenden soll.
Die CLI-Version der OWASP-Abhängigkeitsprüfung war ein Shell-Skript. Wenn Sie also einen Blick hineinwerfen,
Es stellte sich heraus, dass zum Zeitpunkt der Ausführung eine Umgebungsvariable namens JAVA_OPTS als Parameter angegeben wurde.
# Fazit
Es kann wie folgt ausgeführt werden.
export JAVA_OPTS="${JAVA_OPTS} -Djdk.http.auth.tunneling.disabledSchemes=""" dependency-check.sh --Projekt [Projektname]--scan [Pfad des Zielverzeichnisses scannen]--Proxyserver [Name des Proxyservers]--Proxy-Port [Proxy-Port]--proxypass [Passwort für die Proxy-Authentifizierung]--Proxy-Benutzer [Proxy-Authentifizierungs-ID]