Fortify软件
强化静态代码分析器
使软件更快地生产
资源的
数据表
通过早期安全测试构建更好的代码
(PDF 260 KB)
学到更多
解决方案简介
使用Fortify SCA保护您的企业软件
(PDF 489 KB)
学到更多
试用软件
立即开始您的WebInspect试用版
学到更多
视频
Denim Group加强了Fortify的应用
(2.26分钟)
看视频
相关产品,解决方案和服务
应用安全测试
按需加强
应用安全即服务。
学到更多
软件安全
Fortify软件安全中心
管理整个安全SDLC的软件风险 - 从开发到质量保证和生产。
学到更多
DAST
强化WebInspect
自动化的动态安全测试工具,以查找和优先考虑可利用的网络漏洞。
学到更多
移动安全
移动应用安全
将您的移动堆栈从设备保护到网络通信到服务器。
学到更多
安全情报服务
威胁防御服务
发现并实施针对您的企业da威胁的有针对性的解决方案。
学到更多
应用安全
强化应用安全性
静态和动态应用程序安全测试,以便在利用漏洞之前查找和修复漏洞。
学到更多
应用安全软件
软件安全保证
使您的软件免受攻击。
学到更多
参与我们的应用安全社区
保护您的资产博客
获得IT安全洞察力,在世界各地的攻击者面前保护您的业务。
保护您的资产博客
安全研究博客
获得创新的研究,观察和更新,以帮助您主动识别威胁和管理风险。
安全研究博客
Protect724社区
加入HPE安全社区,共享,搜索,协作解决方案并获得反馈。
Protect724社区
Twitter上的HPE Security
获取关于混合环境风险的xin推文,并防御威胁。
Twitter上的HPE Security
LinkedIn上的HPE Security
与专家联系,并讨论混合环境中新威胁和风险的xin信息。
LinkedIn上的HPE Security
Facebook上的HPE软件
与同行和专家一起讨论如何使HPE软件为您工作。
Facebook上的HPE软件
Google+上的HPE软件
讨论如何使您的企业应用程序和信息为您工作的xin信息。
Google+上的HPE软件
HPE业务洞察
获得来自IT的战略见解,帮助他人定义,测量和实现更好的IT表现。
HPE业务洞察
Fortify软件
强化静态代码分析器
使软件更快地生产
Fortify软件如何工作?
Fortify是用于查找软件代码中的安全漏洞的SCA。我只是好奇这个软件在内部工作。我知道你需要配置一组代码将被运行的规则。但是如何才能在代码中找到漏洞。
有人有什么想法吗?
提前致谢。
强化
任何想法如何适用于iOS应用程序? Fortify是否有任何Mac软件通过我们可以扫描iOS代码Objective-C / Swift代码? -
HP Fortify SCA有6个分析器:数据流,控制流,语义,结构,配置和缓冲。每个分析器都会发现不同类型的漏洞。
数据流量此分析仪检测潜在的漏洞,这些漏洞涉及受到潜在危险使用的污染数据(用户控制输入)。数据流分析器使用全局的,程序间的污染传播分析来检测源(用户输入站点)和信宿(危险函数调用或操作)之间的数据流。例如,数据流分析器检测用户控制的无限长度的输入字符串是否被复制到静态大小的缓冲区中,并检测用户控制的字符串是否用于构造SQL查询文本。
控制流程此分析仪检测潜在的危险操作序列。通过分析程序中的控制流程,控制流程分析器确定一组操作是否以一定顺序执行。例如,控制流程分析器检测使用时间的检查/时间问题和未初始化的变量,并检查在使用之前是否正确配置了诸如XML读取器之类的实用程序。
结构这可以检测程序的结构或定义中潜在的危险缺陷。例如,结构分析器检测对Java servlet中成员变量的分配,识别未声明为static final的记录器的使用,以及由于总是为false的谓词将永远不会执行的死代码的实例。
Fortify软件
强化静态代码分析器
使软件更快地生产
转移景观
语言支持也得到了扩展,完全支持PHP,JavaScript,COBOL以及所有添加到版本5的ASP和Basic的classic-non-.NET版本。Fortify SCA以前一直支持C#,VB.NET,Java和C / C ++,ColdFusion和存储过程语言,如Microsoft TSQL和Oracle PL / SQL。
“从基于COM的语言到.NET版本的迁移速度并没有像我们以前那样快,”Meftah解释说。 “这些COM语言的安装基础很大,我们从我们的安装基础和其他方面得到了很多查询。”
SANS Institute互联网风暴中心首席研究员Johannes Ullrich表示,Fortify SCA等代码分析工具对于成长型企业开发商店至关重要。
“我认为[代码分析工具]的部署方式不足,我看到很少使用它们,通常只适用于大型企业项目,”Ullrich说。 “这是一个巨大的时间保护,它没有找到所有的漏洞,但它找到标准的东西,它需要很多繁忙的代码审查。
Fortify SCA旨在与现有工具和IDE集成,包括Microsoft Visual Studio,Eclipse和IBM Rapid Application Developer(RAD)。基于Java的套件运行在各种操作系统上,包括Windows,Linux,Mac OS X和各种各样的Unix。
许可证的基准价格为每位开发人员约1,200美元,另外还需支付维护费用,并订阅更新的代码规则以防止出现的漏洞。
关于作者
迈克尔·德斯蒙德(Michael Desmond)是1105媒体企业计算组织的编辑兼作家。
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书»
强化针对JSSE API的SCA自定义规则滥用
允许所有的行动
应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。
Java安全套接字扩展(JSSE)提供两组API来建立安全通信,一个HttpsURLConnection API和一个低级SSLSocket API。
HttpsURLConnection API默认执行主机名验证,再次可以通过覆盖相应的HostnameVerifier类中的verify()方法来禁用(在GitHub上搜索以下代码时,大约有12,800个结果)。
HostnameVerifier allHostsValid = new HostnameVerifier(){
public boolean verify(String hostname,SSLSession session){
返回真
}
};
SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段,仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。
private void checkTrusted(X509Certificate [] chain,String authType,SSLEngine engine,boolean isClient)
throws CertificateException {
...
String identityAlg = engine.getSSLParameters()。
getEndpointIdentificationAlgorithm();
if(identityAlg!= null && identityAlg.length()!= 0){
checkIdentity(session,chain [0],identityAlg,isClient,
getRequestedServerNames(发动机));
}
...
}
当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时,识别算法设置为NULL,因此主机名验证被默认跳过。因此,如果攻击者在客户端连接到“”时在网络上具有MITM位置,则应用程序还将接受为“some-evil-”颁发的有效的服务器证书。
这种记录的行为被掩埋在JSSE参考指南中:
“当使用原始SSLSocket和SSLEngine类时,您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭
以上信息由专业从事源代码扫描工具fortify报告中文插件的华克斯于2025/6/7 12:33:47发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/hksxxkj-2866993938.html
上一条:电解电容固定胶带来电咨询「多图」
