廣西fortify規(guī)則庫-蘇州華克斯信息

FortifySCA可配置的保護模式

攔截惡意數(shù)據(jù)，回應惡意的挑戰(zhàn)，執(zhí)行自訂的動作

為生產(chǎn)下的應用系統(tǒng)進行執(zhí)行期的安全分析

接近零影響運作效能

提供廣泛而充分的安全事件報告

實時監(jiān)測各種攻擊和各種跟安全有關(guān)的行為

Call Site? 監(jiān)測50種 API及偵cha12類黑de行為

為安全事件進行時間性關(guān)聯(lián)分析

滿足監(jiān)管機構(gòu)規(guī)定的要求

PCI， HIPPA， OWASP Top Ten

FortifySCA介紹  

支持對測試結(jié)果進行分類或劃分，并分發(fā)給不同的人進行確認和修復。

·        

對工具和安全代碼規(guī)則可以進行集中配置和管理，使分散在不同地點的測試機統(tǒng)一更新，提高了效率，源代碼檢測工具fortify規(guī)則庫，保證了版本的一致性。

·        

支持將測試結(jié)果在企業(yè)內(nèi)部進行發(fā)布，使開發(fā)人員，測試人員，安全人員和管理人員可以通過WEB瀏覽器進行查看和審計。實現(xiàn)多個部門之間的協(xié)同工作，加強對問題的快速反應，提高管理能力，提高工作效率。

·        

能夠按用戶和角色的不同來進行權(quán)限的劃分，方便企業(yè)內(nèi)各個團隊的交流和溝通，同時保證了測試結(jié)果的保密性。

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

安全套接字層（SSL / TLS）是使用加密過程提供身份驗證，廣西fortify規(guī)則庫，機mi性和完整性的廣泛使用的網(wǎng)絡(luò)安全通信協(xié)議。為確保該方的身份，必須交換和驗證X.509證書。一方當事人進行身份驗證后，協(xié)議將提供加密連接。用于SSL加密的算法包括一個安全的散列函數(shù)，保證了數(shù)據(jù)的完整性。

當使用SSL / TLS時，必須執(zhí)行以下兩個步驟，以確保中間沒有人篡改通道：

證書鏈信任驗證：X.509證書指ding頒發(fā)證書的證書頒發(fā)機構(gòu)（CA）的名稱。服務器還向客戶端發(fā)送中間CA的證書列表到根CA。客戶端驗證每個證書的簽名，到期（以及其他檢查范圍，例如撤銷，基本約束，策略約束等），從下一級到根CA的服務器證書開始。如果算法到達鏈中的后一個證書，沒有違規(guī)，則驗證成功。

主機名驗證：建立信任鏈后，客戶端必須驗證X.509證書的主題是否與所請求的服務器的完全限定的DNS名稱相匹配。 RFC2818規(guī)定使用SubjectAltNames和Common Name進行向后兼容。

當安全地使用SSL / TLS API并且可能導致應用程序通過受攻擊的SSL / TLS通道傳輸敏感信息時，可能會發(fā)生以下錯誤使用情況。

證明所有證書

應用程序?qū)崿F(xiàn)一個自定義的TrustManager，使其邏輯將信任每個呈現(xiàn)的服務器證書，而不執(zhí)行信任鏈驗證。

TrustManager [] trustAllCerts = new TrustManager [] {

       新的X509TrustManager（）{

...

  public void checkServerTrusted（X509Certificate [] certs，

                String authType）fortify規(guī)則庫

}

這種情況通常來自于自簽證書被廣泛使用的開發(fā)環(huán)境。根據(jù)我們的經(jīng)驗，源代碼檢測工具fortify規(guī)則庫，我們通常會發(fā)現(xiàn)開發(fā)人員完全禁用證書驗證，源代碼審計工具fortify規(guī)則庫，而不是將證書加載到密鑰庫中。這導致這種危險的編碼模式意外地進入生產(chǎn)版本。

當這種情況發(fā)生時，它類似于從煙霧探測器中取出電池：檢測器（驗證）將仍然存在，提供錯誤的安全感，因為它不會檢測煙霧（不可信方）。實際上，當客戶端連接到服務器時，驗證例程將樂意接受任何服務器證書。

在GitHub上搜索上述弱勢代碼可以返回13，823個結(jié)果。另外在StackOverflow上，一些問題詢問如何忽略證書錯誤，獲取類似于上述易受攻擊的代碼的回復。這是關(guān)于投piao建議禁用任何信任管理。