Fortify SCA 的工(gong)作原理(li)：

Foritfy SCA 首(shou)先通過調用(yong)語(yu)言(yan)的(de)編譯(yi)器或者(zhe)解釋(shi)器把前端的(de)語(yu)言(yan) 代(dai)碼(ma)（如 JAVA，C/C++源代(dai)碼(ma)）轉換成(cheng)一種中(zhong)間(jian)媒體文(wen)件 NST（Normal Syntax Tree）將其(qi)源代(dai)碼(ma)之間(jian)的(de)調用(yong)關(guan)系，執(zhi)行(xing)環境，上下文(wen)等分(fen)(fen)析(xi) 清楚。然后再通過上述的(de)五大(da)分(fen)(fen)析(xi)引(yin)擎從五個切面來分(fen)(fen)析(xi)這(zhe)個 NST， 匹配所有規則庫中(zhong)的(de)漏(lou)(lou)(lou)洞特征，一旦發現漏(lou)(lou)(lou)洞就(jiu)抓取(qu)出(chu)來。形成(cheng) 包含詳細漏(lou)(lou)(lou)洞信息(xi)的(de) FPR 結果(guo)文(wen)件，源代(dai)碼(ma)掃描工具(ju)fortify價(jia)格表，用(yong) AWB 打開查看。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

資源

新聞稿

應用安全解決方案可以保(bao)護(hu)SDLC for Devops

學到更多

分析報告

保護(hu)您的Web應用程(cheng)序(xu)有多(duo)好(hao)？

（PDF 744KB）

學到更多

小冊

將應(ying)用程序安全性構建到(dao)整個SDLC中

（PDF 3.21 MB）

學到更多

在線評估

你的安全行(xing)動有多成熟(shu)？

學到更多

白皮書

采取協作方(fang)式的(de)IT安(an)全

白皮書

白皮書

違約回應：為不可避(bi)免的準備

白皮書

相關應用安全(quan)產品與服務

脆弱性研究

安全研究

創新的(de)(de)脆(cui)弱(ruo)性研究(jiu)作為可操(cao)作的(de)(de)安(an)全智能。

學到更多

SIEM

ArcSight ESM

確定安全(quan)事件(jian)的優先級(ji)，以保護您的業務。

學到更多

企業安全培訓

企業安全大學

指導(dao)，優化您的安全操作和您的安全投資。

學到更多

企業安全咨詢

安全咨詢服務

咨詢服務，幫助您充(chong)分利用您在HPE安(an)全解決方案方面的投(tou)資。

Fortify軟件

強化靜態代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉(zhuan)換(huan)為HP FORTIFY SCA FPR | MAIN | CA特權身份(fen)管理員安全研(yan)究(jiu)白皮書(shu)?

強化針對(dui)JSSE API的SCA自定(ding)義(yi)規則濫(lan)用

我們的貢獻：強制(zhi)性的SCA規則

為(wei)(wei)了(le)檢(jian)測上(shang)述不安全的(de)用(yong)法，我們在HP Fortify SCA的(de)12個自定(ding)義規(gui)則(ze)中(zhong)對以(yi)下檢(jian)查進行了(le)編碼(ma)。這(zhe)些規(gui)則(ze)確定(ding)了(le)依賴于JSSE和(he)Apache HTTPClient的(de)代碼(ma)中(zhong)的(de)問(wen)題，因為(wei)(wei)它們是厚客戶端(duan)和(he)Android應用(yong)程序的(de)廣泛使用(yong)的(de)庫。

超許可主機名驗證器：當代碼聲明一(yi)個HostnameVerifier時，該規(gui)則(ze)被(bei)觸發，fortify價格表(biao)，并且它總是返回'true'。

函數f：f.name是(shi)“verify”和(he)f.pers

包(bao)含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含(han)

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

過度允許(xu)的信任管(guan)理器：當代(dai)碼聲明(ming)一個TrustManager并且它不會(hui)拋(pao)出一個CertificateException時觸發該規則。拋(pao)出異(yi)常(chang)是(shi)API管(guan)理意(yi)外(wai)狀況的方式。

函數f：f.name是“checkServerTrusted”和(he)

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包(bao)含[ThrowStatement t：

t.expression.pers包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺(que)少主機(ji)名驗證：當代碼使(shi)用低級SSLSocket API并且未設置HostnameVerifier時，源(yuan)代碼審計工具fortify價格表(biao)，將觸發該規則。

經常(chang)被(bei)誤用：自(zi)定(ding)義HostnameVerifier：當代(dai)碼(ma)使用HttpsURLConnection API并且它設置(zhi)自(zi)定(ding)義主機名驗證器時，該(gai)規則被(bei)觸(chu)發(fa)。

經(jing)常(chang)被誤用：自(zi)定義SSLSocketFactory：當代碼使用HttpsURLConnection API并且它設置自(zi)定義SSLSocketFactory時，該(gai)規則被觸發(fa)。

我們決定啟動(dong)“經(jing)常被(bei)濫用(yong)(yong)”的規則(ze)，源代碼(ma)檢(jian)測工具fortify價格表，因為應用(yong)(yong)程序正在使用(yong)(yong)API，并且應該(gai)手動(dong)審查這些方法的重寫。

規則包可在Github上獲得。這些檢查(cha)應始終(zhong)在源代(dai)碼分析期間執行，以確保代(dai)碼不會引入不安全的(de)SSL / TLS使用。

///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |評論關閉|分(fen)享文章分(fen)享文章

標簽TagCustom規則(ze)，CategoryApplication安全性中的TagSDL，CategoryCustom規則(ze)