FortifySCA可(ke)配置(zhi)的保(bao)護模式
攔截惡意數據(ju),回應惡意的挑戰,執行自(zi)訂(ding)的動作
為生產(chan)下的應用(yong)系統進行執行期的安全(quan)分析
接近零影響運作效能
提供廣(guang)泛而(er)充分的安(an)全(quan)事件報告(gao)
實時監測各種(zhong)攻擊和各種(zhong)跟安全有關的行為
Call Site? 監(jian)測50種 API及偵cha12類黑de行為(wei)
為安(an)全事件進行時間性(xing)關聯分析(xi)
滿足監(jian)管機構規定(ding)的要求(qiu)
PCI, HIPPA, OWASP Top Ten
FortifySCA介紹(shao)
支持對測試結果進行(xin�������g)分(fen)類(lei)或劃��������分(fen),并分(fen)發給不同的(de)人進行(xing)確認和修復。
·
對工具(ju)和安(an)全代碼(ma)規則(ze)可以進行集中配(pei)置(zhi)和管理,使(shi)分(fen)散(san)在不同地點的測(ce)試機(ji)統一更新,提(ti)高了效�����(xiao)率(lv),源(yuan)代碼(ma)檢測(ce)工具(ju)fortify規則(ze)庫,保(bao)證�����了版本的一致性。
·
支持將測試結果(guo)在企業內部(bu)進行發布(bu),使開發人員,測試人員,安全(quan)人員和管理(l�����i)人員可以(yi)通過WEB瀏覽(lan)器進行查(cha)看和審計。實現多個部(bu)門之(zhi)間的協(xie)同工作,加強對(dui)問(wen)題的快速反應,提高管理(li)能力,提高工作效(xiao)率(lv)。
·
能夠按用戶和(he)角色�������的(de)不(bu)同來進行權限的(de)劃分,方便(bian)企(qi)業(ye)內各個團隊的(de)交流和(he)溝通,同時保(bao)證了測試結果的(de������)保(bao)密性。
Fortify軟件
強化靜態代碼分析器
使軟件更快地生產
“將(jiang)FIN��������DBUGS XML轉(zhuan)換為HP FORTIFY SCA FPR | MAIN | CA特權身份(fen)管理(li)員安全(���������quan)研究(jiu)白(bai)皮書?
強化針(zhen)對JSSE API的SCA自(zi)定義規則濫用
安全套接字層(SSL / TLS)是使用加(jia)密(mi)過(guo)程提��������供身份驗證,廣(guang)西(xi)fortify規則庫,機mi性和完整性的(de)廣(guang)泛使用的(de)網絡安全通信協議(yi)。為確保該方(fang)的(de)身份,必須交換和驗證X.509證��������書。一方(fang)當事人進行身份驗證后(hou),協議(yi)將提供加(jia)密(mi)連接。用于SSL加(jia)密(mi)的(de)算法(fa)包括一個安全的(de)散列函數,保證了(le)數據的(de)完整性。
當使用SSL / TLS時,必須執行以下(xia)兩個步驟,以確保中�������間(jian)沒有人篡(cuan)改(gai)通(tong)道:
證(zheng)(zh��������eng)(zheng)(zheng)書鏈(lian)(lian)信(xin)任驗(yan)證(zheng)(zheng)(zheng)(zheng):X.509證(zheng)(zheng)(zheng)(zheng)書指ding頒發(fa)證(zheng)(zheng)(zheng)(zheng)書的(de)(de)證(zheng)(zheng)(zheng)(zheng)書頒發(fa)機(ji)構(CA)的(de)(de)名(ming)稱(cheng)。服務器還向(xiang)客戶(hu)端發(fa)送中(zhong)間(jian)CA的(de)(de)證(zheng)(zheng)(zheng)(zheng)書列表(biao)到(dao)(dao)(dao)根CA。客戶(hu)端驗(yan)證(zheng)(zheng)(zheng)(zheng)每個證(zheng)(zheng)(zheng)(zheng)書的(de)(de)簽名(ming),到(dao)(dao)(dao)期(以及其他檢查范圍,例如(ru)撤銷,基本(ben)約束(shu),策略(lve)約束(shu)等),從下一級到(dao)(dao)(dao)根CA的(de)(de)服務器證(zheng)(zheng)(zheng)(zheng)書開始。如(ru)果算法到(dao)(dao)(dao)達鏈(lian)(lian)中(zhong)的(de)(de)后一個證(zheng)(zheng)(zheng)(zheng)書,沒有違(wei)規,則驗(yan)證(zheng)(zh�������eng)(zheng)(zheng)成功。
主機(ji)名(ming)(ming)驗(yan)證(zheng):������建立信(xin)任鏈后,客(ke)戶(hu)端必須(xu)驗(yan�������)證(zheng)X.509證(zheng)書的(de)主題(ti)是否(fou)與所請求的(de)服(fu)務(wu)器的(de)完全限定(ding)的(de)DNS名(ming)(ming)稱(cheng)相匹(pi)配。 RFC2818規定(ding)使用(yong)SubjectAltNames和(he)Common Name進行向后兼容。
當安全地使(shi)用SSL / TLS API并且可能導致應用程序通(tong)過受攻擊的(de)SSL / TLS通(tong)道傳輸(shu)敏感信息(xi)時(shi),可能會發生以下(xia)錯(cuo)誤使(shi)用情況�������。
證明所有證書
應(ying)用程序(xu)實現一個(ge)自定義的TrustManager,使其(qi)邏輯將(jiang)��������信任每個(ge)呈現的服務(wu)器證書,而不執行信任鏈驗證。
TrustManager [] trustAllCerts = ne��������w T�������rustManager [] {
新的X509TrustManager(){
...
public void checkServerTrusted(X509Cer����tificate [] certs,
String authTy����pe)fortify規(gui)則庫
}
這種情況通常來自(zi)(zi)于自(zi)(zi)簽證(zheng)書被廣泛使用的(de)開發環境。根據(ju)我們的(de)經驗,源代(dai)碼檢測(ce)工具(ju)fortify規則庫(ku),����我們通常會(hui)發現開發人員完全禁(jin)用證(zheng)書驗證(zheng),源代(dai)碼審計(ji)工具(ju)forti������fy規則庫(ku),而不是將證(zheng)書加載到密鑰庫(ku)中。這導致這種危險的(de)編碼模式意外(wai)地進入(ru)生產版(ban)本。
當(dang)(dang)這種情況(kuang)發生時,它(ta)類似于從煙(yan)(yan)霧(wu)探測(ce)(ce)器(qi)中取出電池:檢測(ce)(ce)器(qi)(驗(yan)證)將(jiang)仍然(ran)存(cun)在,提供錯誤的安全(quan)感,因為它(ta)不(bu)會(hui)檢測(ce)(ce)煙(yan)(yan)霧(wu)(不(bu)可信(xin)�����方(fang))。實際上,當(dang)(dang)客戶端(duan)連接到服務(wu)器(qi)時,驗(yan)證例程將(jiang)樂意接受任何(he)服務(wu)器(qi)證書。
在GitHub上搜索上述弱勢代(dai)碼(m�������a)可(ke)以返回13,823個(g�����e)結(jie)果。另外(wai)在StackOverflow上,一(yi)些(xie)問題詢問如何忽(hu)略證書(shu)錯(cuo)誤,獲取類似(si)于(yu)上述易受攻擊的代(dai)碼(ma)的回復(fu)。這是(shi)關于(yu)投piao建議禁用任何信任管理。
廣西fortify規則庫-蘇州華克斯信息由蘇州華克斯信息科技有限公司提供。“Loadrunner,Fortify,源代碼審計,源代碼掃描”選擇蘇州華克斯信息科技有限公司,公司位于:蘇州工業園區新平街388號,多年來,華克斯堅持為客戶提供好的服務,聯系人:華克斯。歡迎廣大新老客戶來電,來函,親臨指導,洽談業務。華克斯期待成為您的長期合作伙伴!
咨詢電話:13862561363
第9年
