fortify采购-苏州华克斯公司

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

日期：2017年6月8日上午7:00

在提供GDS安全SDLC服务的同时，我们经常开发一系列定制安全检查和静态分析规则，以检测我们在源代码安全评估中发现的不安全的编码模式。这些模式可以代表特定于正在评估的应用程序，其架构/设计，使用的组件或甚至开发团队本身的常见安全漏洞或的安全弱点。这些自定义规则经常被开发以针对特定语言，并且可以根据客户端使用的或者舒服的方式在特定的静态分析工具中实现 - 以前的例子包括FindBugs，PMD，Visual Studio以及Fortify SCA。

使用Findbugs审核不安全代码的Scala

为Spring MVC构建Fortify自定义规则

用PMD保护发展

在本博客文章中，我将专注于开发Fortify SCA的PoC规则，以针对基于Java的应用程序，然而，源代码检测工具fortify采购，相同的概念可以轻松扩展到其他工具和/或开发语言。

影响Duo Mobile的近漏洞证实了Georgiev等人的分析，他们展示了各种非浏览器软件，库和中间件中SSL / TLS证书验证不正确的严重安全漏洞。

具体来说，在这篇文章中，我们专注于如何识别Java中SSL / TLS API的不安全使用，这可能导致中间人或欺骗性攻击，从而允许恶意主机模拟受信任的攻击。将HP Fortify SCA集成到SDLC中可以使应用程序定期有效地扫描漏洞。我们发现，由于SSL API滥用而导致的问题并未通过开箱即用的规则集确定，因此我们为Fortify开发了一个全mian的12个自定义规则包。

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

安全套接字层（SSL / TLS）是使用加密过程提供身份验证，机mi性和完整性的广泛使用的网络安全通信协议。为确保该方的身份，必须交换和验证X.509证书。一方当事人进行身份验证后，协议将提供加密连接。用于SSL加密的算法包括一个安全的散列函数，保证了数据的完整性。

当使用SSL / TLS时，必须执行以下两个步骤，以确保中间没有人篡改通道：

证书链信任验证：X.509证书指ding颁发证书的证书颁发机构（CA）的名称。服务器还向客户端发送中间CA的证书列表到根CA。客户端验证每个证书的签名，到期（以及其他检查范围，例如撤销，基本约束，策略约束等），从下一级到根CA的服务器证书开始。如果算法到达链中的后一个证书，没有违规，则验证成功。

主机名验证：建立信任链后，客户端必须验证X.509证书的主题是否与所请求的服务器的完全限定的DNS名称相匹配。 RFC2818规定使用SubjectAltNames和Common Name进行向后兼容。

当安全地使用SSL / TLS API并且可能导致应用程序通过受攻击的SSL / TLS通道传输敏感信息时，可能会发生以下错误使用情况。

证明所有证书

应用程序实现一个自定义的TrustManager，使其逻辑将信任每个呈现的服务器证书，而不执行信任链验证。

TrustManager [] trustAllCerts = new TrustManager [] {

新的X509TrustManager（）{

...

public void checkServerTrusted（X509Certificate [] certs，

String authType）fortify采购

}

这种情况通常来自于自签证书被广泛使用的开发环境。根据我们的经验，我们通常会发现开发人员完全禁用证书验证，而不是将证书加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。

当这种情况发生时，它类似于从烟雾探测器中取出电池：检测器（验证）将仍然存在，提供错误的安全感，因为它不会检测烟雾（不可信方）。实际上，源代码扫描工具fortify采购，当客户端连接到服务器时，fortify采购，验证例程将乐意接受任何服务器证书。

在GitHub上搜索上述弱势代码可以返回13，823个结果。另外在StackOverflow上，一些问题询问如何忽略证书错误，获取类似于上述易受攻击的代码的回复。这是关于投piao建议禁用任何信任管理。

FortifySCA服务的方式：

客户现场服务

服务工程师将产品安装客户服务器上，源代码检测工具fortify采购，并派技术人员在客户的应用程序中执行代码安全风险评估

服务名称

服务期限

服务描述

服务费用

备注

现场源代码安全扫描服务

10天

fortify源代码安全产品可以被使用10天，在一个项目上执行多次扫描

12万

技术人员现场安装产品并辅助器分析代码安全漏洞，撰写风险评估报告

根据项目需要确定

根据项目需要确定

根据项目需要确定

技术人员现场安装产品并辅助器分析代码安全漏洞，撰写风险评估报告

给客户带来的好处

能快速帮助客户定位代码级别的安全漏洞；

能够帮助企业快速评估系统代码安全风险；

快速提供代码安全漏洞修复建议；

指导和培训用户开发安全的软件；

增强系统安全性，抵zhi黑ke恶意攻击，保护信息系统资产。