重庆fortify sca价格-苏州华克斯

Fortify软件

强化静态代码分析器

使软件更快地生产

资源的

数据表

通过早期安全测试构建更好的代码

（PDF 260 KB）

学到更多

解决方案简介

使用Fortify SCA保护您的企业软件

（PDF 489 KB）

学到更多

试用软件

立即开始您的WebInspect试用版

学到更多

视频

Denim Group加强了Fortify的应用

（2.26分钟）

看视频

相关产品，解决方案和服务

应用安全测试

按需加强

应用安全即服务。

学到更多

软件安全

Fortify软件安全中心

管理整个安全SDLC的软件风险 - 从开发到和生产。

学到更多

DAST

强化WebInspect

自动化的动态安全测试工具，以查找和优先考虑可利用的网络漏洞。

学到更多

移动安全

移动应用安全

将您的移动堆栈从设备保护到网络通信到服务器。

学到更多

安全情报服务

威胁防御服务

发现并实施针对您的企业da威胁的有针对性的解决方案。

学到更多

应用安全

强化应用安全性

静态和动态应用程序安全测试，以便在利用漏洞之前查找和修复漏洞。

学到更多

应用安全软件

软件

使您的软件免受攻击。

学到更多

参与我们的应用安全社区

保护您的资产博客

获得IT安全洞察力，在世界各地的攻击者面前保护您的业务。

保护您的资产博客

安全研究博客

获得创新的研究，观察和更新，以帮助您主动识别威胁和管理风险。

安全研究博客

Protect724社区

加入HPE安全社区，共享，搜索，协作解决方案并获得反馈。

Protect724社区

Twitter上的HPE Security

获取关于混合环境风险的xin推文，并防御威胁。

Twitter上的HPE Security

LinkedIn上的HPE Security

与联系，并讨论混合环境中新威胁和风险的xin信息。

LinkedIn上的HPE Security

Facebook上的HPE软件

与同行和一起讨论如何使HPE软件为您工作。

Facebook上的HPE软件

Google+上的HPE软件

讨论如何使您的企业应用程序和信息为您工作的xin信息。

Google+上的HPE软件

HPE业务洞察

获得来自IT的战略见解，帮助他人定义，测量和实现更好的IT表现。

HPE业务洞察

FortifySCA支持源代码安全风险评估的语言

支持的语言业界，跨层、跨语言地分析代码的漏洞的产生：C， C++， .Net，源代码扫描工具fortify sca价格，

Java， JSP，PL/SQL， T-SQL， XML， CFML， JavaScript， PHP， ASP， VB， VBScript；

支持的平台，基本上所有平台都支持：Windows，源代码审计工具fortify sca价格， Solaris， Red Hat Linux，

Mac OS X， HP-UX， IBM AIX；

IDE支持 VS， Eclipse， RAD， WSAD。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

允许所有的行动

应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。

Java安全套接字扩展（JSSE）提供两组API来建立安全通信，一个HttpsURLConnection API和一个低级SSLSocket API。

HttpsURLConnection API默认执行主机名验证，重庆fortify sca价格，再次可以通过覆盖相应的HostnameVerifier类中的verify（）方法来禁用（在GitHub上搜索以下代码时，大约有12，800个结果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

返回真

}

};

SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段，仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，源代码检测工具fortify sca价格，boolean isClient）

throws CertificateException {

...

String identityAlg = engine.getSSLParameters（）。

getEndpointIdentificationAlgorithm（）;

if（identityAlg！= null && identityAlg.length（）！= 0）{

checkIdentity（session，chain [0]，identityAlg，isClient，

getRequestedServerNames（发动机））;

}

...

}

当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时，识别算法设置为NULL，因此主机名验证被默认跳过。因此，如果攻击者在客户端连接到“”时在网络上具有MITM位置，则应用程序还将接受为“some-evil-”颁发的有效的服务器证书。

这种记录的行为被掩埋在JSSE参考指南中：

“当使用原始SSLSocket和SSLEngine类时，您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭