|
公司基本資料信息
|
|||||||||||||||||||||||||
fortifySCA優(yōu)點(diǎn)
從代碼的結(jié)構(gòu)方面分析代碼,識(shí)別代碼結(jié)構(gòu)不合理而帶來(lái)的安全弱點(diǎn)和問(wèn)題。
·
對(duì)多層次、多語(yǔ)言的項(xiàng)目,可以跨層次、跨語(yǔ)言地對(duì)整個(gè)項(xiàng)目進(jìn)行分析。找到貫穿在多個(gè)層次或者多種語(yǔ)言的安全問(wèn)題。可以支持Web應(yīng)用的三層框架多種語(yǔ)言整合測(cè)試如JSP/Java/T-SQL 或ASPX/C#/T-SQL。
·
支持檢測(cè)業(yè)界全的安全漏洞,工具能夠支持檢測(cè)的漏洞要能依從于國(guó)際權(quán)威組織,如美國(guó)軟件安全漏洞詞典CWE、開放式Web應(yīng)用程序安全項(xiàng)目組織OWASP等
·
漏洞掃描規(guī)則支持客戶自定義。方便客戶添加特殊的掃描需求。同時(shí)提供友好的圖形化的自定義向?qū)Ш途庉嬈鳎詣?dòng)生成規(guī)則腳本。
Fortify軟件
強(qiáng)化靜態(tài)代碼分析器
使軟件更快地生產(chǎn)
任何想法如何適用于iOS應(yīng)用程序? Fortify是否有任何Mac軟件通過(guò)我們可以掃描iOS代碼Objective-C / Swift代碼?
還有一個(gè)@Doug的補(bǔ)充上面提到的評(píng)論...從Fortify 16.20開始,SCA現(xiàn)在支持直接掃描.Net C#/ ASP / VB源代碼 - 不再需要預(yù)編譯。
是 - Fortify SCA支持掃描Objective-C和Swift for iOS以及約20種其他語(yǔ)言和眾多框架。在Fortify SCA數(shù)據(jù)表中查看更多信息:
華克斯
您還可以通過(guò)Fortify on Demand上的SaaS來(lái)利用Fortify SCA,并讓專家運(yùn)行掃描并為您審核結(jié)果:
華克斯
Fortify軟件
強(qiáng)化靜態(tài)代碼分析器
使軟件更快地生產(chǎn)
“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?
強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用
允許所有的行動(dòng)
應(yīng)用程序不檢查服務(wù)器發(fā)送的數(shù)字證書是否發(fā)送到客戶端正在連接的URL。
Java安全套接字?jǐn)U展(JSSE)提供兩組API來(lái)建立安全通信,一個(gè)HttpsURLConnection API和一個(gè)低級(jí)SSLSocket API。
HttpsURLConnection API默認(rèn)執(zhí)行主機(jī)名驗(yàn)證,再次可以通過(guò)覆蓋相應(yīng)的HostnameVerifier類中的verify()方法來(lái)禁用(在GitHub上搜索以下代碼時(shí),大約有12,800個(gè)結(jié)果)。
HostnameVerifier allHostsValid = new HostnameVerifier(){
public boolean verify(String hostname,SSLSession session){
返回真
}
};
SSLSocket API不開箱即可執(zhí)行主機(jī)名驗(yàn)證。以下代碼是Java 8片段,僅當(dāng)端點(diǎn)標(biāo)識(shí)算法與空字符串或NULL值不同時(shí)才執(zhí)行主機(jī)名驗(yàn)證。
private void checkTrusted(X509Certificate [] chain,String authType,SSLEngine engine,boolean isClient)
throws CertificateException {
...
String identityAlg = engine.getSSLParameters()。
getEndpointIdentificationAlgorithm();
if(identityAlg!= null && identityAlg.length()!= 0){
checkIdentity(session,chain [0],identityAlg,isClient,
getRequestedServerNames(發(fā)動(dòng)機(jī)));
}
...
}
當(dāng)SSL / TLS客戶端使用原始的SSLSocketFactory而不是HttpsURLConnection包裝器時(shí),識(shí)別算法設(shè)置為NULL,因此主機(jī)名驗(yàn)證被默認(rèn)跳過(guò)。因此,如果攻擊者在客戶端連接到“”時(shí)在網(wǎng)絡(luò)上具有MITM位置,則應(yīng)用程序還將接受為“some-evil-”頒發(fā)的有效的服務(wù)器證書。
這種記錄的行為被掩埋在JSSE參考指南中:
“當(dāng)使用原始SSLSocket和SSLEngine類時(shí),您應(yīng)該始終在發(fā)送任何數(shù)據(jù)之前檢查對(duì)等體的憑據(jù)。 SSLSocket和SSLEngine類不會(huì)自動(dòng)驗(yàn)證URL中的主機(jī)名與對(duì)等體憑
|
|
|
|
|
|
|
|
點(diǎn)擊圖片查看原圖
