FORTIFY服务商-苏州华克斯公司

fortify软件

强化静态代码分析器

使软件更快地生产

“将findbugs xml转换为hp fortify sca fpr | main | ca-身份管理员安全研究-?

强化针对jsse api的sca自定义规则-

允许所有的行动

应用程序不检查服务器发送的数字-是否发送到-正在连接的url。

java-接字扩展jsse提供两组api来建立安全通信，一个httpsurlconnection api和一个低级sslsocket api。

httpsurlconnection api默认执行主机名验证，再次可以通过覆盖相应的hostnameverifier类中的verify方法来禁用在github上搜索以下代码时，大约有12，800个结果。

hostnameverifier allhostsvalid = new hostnameverifier{

public boolean verifystring hostname，sslsession session{

         返回真

  }

};

sslsocket api不开箱即可执行主机名验证。以下代码是java 8片段，仅当端点标识算法与空字符串或null值不同时才执行主机名验证。

private void checktrustedx509certificate [] chain，string authtype，sslengine engine，boolean isclient

throws certificateexception {

 ...

 string identityalg = engine.getsslparameters。

           getendpointidentificationalgorithm;

 ifidentityalg！= null && identityalg.length！= 0{

           checkidentitysession，chain [0]，identityalg，isclient，

                   getrequestedservernames发动机;

 }

 ...

}

当ssl / tls-使用原始的sslsocketfactory而不是httpsurlconnection包装器时，识别算法设置为null，因此主机名验证被默认跳过。因此，如果攻击者在-连接到“domain.com”时在网络上具有mitm位置，fortify服务商，则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器-。

这种记录的行为被掩埋在jsse参考指南中：

“当使用原始sslsocket和sslengine类时，您应该始终在发送任何数据之前检查对等体的凭据。 sslsocket和sslengine类不会自动验证url中的主机名与对等体凭

fortify软件

强化静态代码分析器

使软件更快地生产

如何修正hp fortify sca报告中的弱点？

常见的静态程序码扫描工具又称原始码检测，白箱扫描，例如hp fortify sca，源代码审计工具fortify服务商，被许多企业用来提高安全的透明度以及外部的法规遵循。但是拿到报告之后怎么办呢？

对于许多来说，hp fortify sca的报告被视为麻烦制造者，因为它们虽然-了弱点不论是真的或是-，但却没有提供任何修正这些弱点的方法。

有没有简单的方法能够修正静态程式码扫描工具找到的弱点呢？

lucent sky avm和静态程序码扫描工具一样会-弱点，同时提供即时修复 - 一段安全的程式码片段，能够直接插入程式码中来修正跨站-xss，sql注入和路径处理这些常见的弱点。

以.netc＃和vb.net和java应用程式来说，源代码检测工具fortify服务商，lucent sky avm可以修正达90％所找到的弱点。

一起使用hp fortify sca和lucent sky avm

hp fortify sca只会告诉你弱点在哪里，源代码审计工具fortify服务商，而lucent sky avm会-它们的位置以及修正方式并且实际为你修正他们，你喜欢的话hp fortify sca是被设计来供资安人士使用，因此设计理念是找出大量的结果，再依赖安全来移除其中的-.lucent sky avm则是-于找出会真正影响应用程式安全的弱点，并依照你或你的开发与安全团队的设定来-的修正这些弱点。你可以深入了解lucent sky amv的修正流程。