华北源代码审计工具fortify服务商免费咨询「多图」

FortifySCA支持源代码安全风险评估的语言

支持的语言业界***，跨层、跨语言地分析代码的漏洞的产生：C, C++, .Net,

Java, JSP,PL/SQL, T-SQL, XML, CFML, JavaScript, PHP, ASP, VB, VBScript；

支持***的平台，基本上所有平台都支持：Windows, Solaris, Red Hat Linux,

Mac OS X, HP-UX, IBM AIX；

IDE支持 VS, Eclipse, RAD, WSAD。

Fortify软件

强化静态代码分析器

使软件更快地生产

资源

新闻稿

应用安全解决方案可以保护SDLC for Devops

学到更多

分析报告

保护您的Web应用程序有多好？

（PDF 744KB）

小册

将应用程序安全性构建到整个SDLC中

（PDF 3.21 MB）

在线评估

你的安全行动有多成熟？

白皮书

采取协作方式的IT安全

违约回应：为不可避免的准备

相关应用安全产品与服务

脆弱性研究

安全研究

创新的脆弱性研究作为可操作的安全智能。

SIEM

ArcSight ESM

确定安全事件的优先级，以保护您的业务。

企业安全培训

企业安全大学

***指导，优化您的安全操作和您的安全投资。

企业安全咨询

安全咨询服务

咨询服务，帮助您充分利用您在HPE安全解决方案方面的投资。

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。学到更多参与我们的应用安全社区保护您的资产博客获得IT安全洞察力，在世界各地的攻击者面前保护您的业务。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或***的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者***舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，以针对基于Java的应用程序，然而，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的***近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。HPESecurityFortify继续创建并***新功能，进一步自动化和简化应用安全测试程序。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。

允许所有的行动

应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。

Java安全套接字扩展（JSSE）提供两组API来建立安全通信，一个***HttpsURLConnection API和一个低级SSLSocket API。

HttpsURLConnection API默认执行主机名验证，再次可以通过覆盖相应的HostnameVerifier类中的verify（）方法来禁用（在GitHub上搜索以下代码时，大约有12,800个结果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

         返回真

  }

};

SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段，仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

 ...

 String identityAlg = engine.getSSLParameters（）。

           getEndpointIdentificationAlgorithm（）;

 if（identityAlg！= null && identityAlg.length（）！= 0）{

           checkIdentity（session，chain [0]，identityAlg，isClient，

                   getRequestedServerNames（发动机））;

当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时，识别算法设置为NULL，因此主机名验证被默认跳过。FortifySCA与强化SSC之间的差异FortifySCA和FortifySSC有什么区别。因此，如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置，则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。

这种记录的行为被掩埋在JSSE参考指南中：

“当使用原始SSLSocket和SSLEngine类时，您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭