fortifySCA发现静态代码(静态分析)和运行中的应用(动态分析)中存在的安全漏洞的根源
?发现超过570种的漏洞类型,支持21种开发语言和超过680000个API
?通过协作更快地修复的安全问题
?控制已部署软件中已经存在的漏洞,使其不产生危害
?管控软件安全流程
?通过利用业界领xian的致力于持续研究应用安全的团队来预防风险
确保与和行业的合规标准以及内部策略一致,例如支付卡行业数据安全标准(PCI
DSS),源代码扫描工具fortify规则库,联邦信息安全管理法案(FISMA),萨班斯法案(SOX),Health Insurance Portability and Accountability Act
(HIPAA),源代码检测工具fortify规则库, North American Electric Reliability Corporation (NERC) 标准等。
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
允许所有的行动
应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。
Java安全套接字扩展(JSSE)提供两组API来建立安全通信,一个HttpsURLConnection API和一个低级SSLSocket API。
HttpsURLConnection API默认执行主机名验证,再次可以通过覆盖相应的HostnameVerifier类中的verify()方法来禁用(在GitHub上搜索以下代码时,大约有12,800个结果)。
HostnameVerifier allHostsValid = new HostnameVerifier(){
public boolean verify(String hostname,SSLSession session){
返回真
}
};
SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段,仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。
private void checkTrusted(X509Certificate [] chain,String authType,SSLEngine engine,boolean isClient)
throws CertificateException {
...
String identityAlg = engine.getSSLParameters()。
getEndpointIdentificationAlgorithm();
if(identityAlg!= null amp;amp; identityAlg.length()!= 0){
checkIdentity(session,chain [0],fortify规则库,identityAlg,isClient,
getRequestedServerNames(发动机));
}
...
}
当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时,识别算法设置为NULL,因此主机名验证被默认跳过。因此,如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置,源代码扫描工具fortify规则库,则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。
这种记录的行为被掩埋在JSSE参考指南中:
“当使用原始SSLSocket和SSLEngine类时,您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭
FortifySCA系统集成和可扩展性
·
可以支持和QC、Bugzilla等主流的质量管理系统集成。使安全测试、功能测试和性能测试发现的问题统一管理,与开发团队现有的流程相融合。
·
漏洞管理平台可以支持和企业LDAP域用户服务器和Email服务器的集成。 提高工作效率,实现集中管理。
·
可以支持和主流持续集成平台的整合如Hudson/Jenkins,实现从获取xin代码、构建编译、安全测试、结果发布的全自动化,提高工作效率,节省人力成本。
·
可以支持和主流的黑盒Web应用安全测试产品进行黑白盒关联分析,具有强大的可扩展性,提高应用安全测试结果的准确性,并且得到的定位和修复。
华克斯信息-fortify规则库由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司实力不俗,信誉可靠,在江苏 苏州 的行业软件等行业积累了大批忠诚的客户。华克斯带着精益求精的工作态度和不断的完善创新理念和您携手步入**,共创美好未来!