源代码扫描工具fortify-华克斯

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

允许所有的行动

应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。

Java安全套接字扩展（JSSE）提供两组API来建立安全通信，源代码扫描工具fortify，一个HttpsURLConnection API和一个低级SSLSocket API。

HttpsURLConnection API默认执行主机名验证，再次可以通过覆盖相应的HostnameVerifier类中的verify（）方法来禁用（在GitHub上搜索以下代码时，大约有12，800个结果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

返回真

}

};

SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段，仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。

private void checkTrusted（X509Certificate [] chain，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

...

String identityAlg = engine.getSSLParameters（）。

getEndpointIdentificationAlgorithm（）;

if（identityAlg！= null && identityAlg.length（）！= 0）{

checkIdentity（session，chain [0]，identityAlg，isClient，源代码扫描工具fortify价格，

getRequestedServerNames（发动机））;

}

...

}

当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时，识别算法设置为NULL，因此主机名验证被默认跳过。因此，如果攻击者在客户端连接到“”时在网络上具有MITM位置，则应用程序还将接受为“some-evil-”颁发的有效的服务器证书。

这种记录的行为被掩埋在JSSE参考指南中：

“当使用原始SSLSocket和SSLEngine类时，您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭

Fortify软件

强化静态代码分析器

使软件更快地生产

资源的

数据表

通过早期安全测试构建更好的代码

（PDF 260 KB）

学到更多

解决方案简介

使用Fortify SCA保护您的企业软件

（PDF 489 KB）

学到更多

试用软件

立即开始您的WebInspect试用版

学到更多

视频

Denim Group加强了Fortify的应用

（2.26分钟）

看视频

相关产品，解决方案和服务

应用安全测试

按需加强

应用安全即服务。

学到更多

软件安全

Fortify软件安全中心

管理整个安全SDLC的软件风险 - 从开发到和生产。

学到更多

DAST

强化WebInspect

自动化的动态安全测试工具，以查找和优先考虑可利用的网络漏洞。

学到更多

移动安全

移动应用安全

将您的移动堆栈从设备保护到网络通信到服务器。

学到更多

安全情报服务

威胁防御服务

发现并实施针对您的企业da威胁的有针对性的解决方案。

学到更多

应用安全

强化应用安全性

静态和动态应用程序安全测试，以便在利用漏洞之前查找和修复漏洞。

学到更多

应用安全软件

软件

使您的软件免受攻击。

学到更多

参与我们的应用安全社区

保护您的资产博客

获得IT安全洞察力，在世界各地的攻击者面前保护您的业务。

保护您的资产博客

安全研究博客

获得创新的研究，观察和更新，以帮助您主动识别威胁和管理风险。

安全研究博客

Protect724社区

加入HPE安全社区，共享，搜索，协作解决方案并获得反馈。

Protect724社区

Twitter上的HPE Security

获取关于混合环境风险的xin推文，并防御威胁。

Twitter上的HPE Security

LinkedIn上的HPE Security

与联系，并讨论混合环境中新威胁和风险的xin信息。

LinkedIn上的HPE Security

Facebook上的HPE软件

与同行和一起讨论如何使HPE软件为您工作。

Facebook上的HPE软件

Google+上的HPE软件

讨论如何使您的企业应用程序和信息为您工作的xin信息。

Google+上的HPE软件

HPE业务洞察

获得来自IT的战略见解，帮助他人定义，测量和实现更好的IT表现。

HPE业务洞察

Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

我们的贡献：强制性的SCA规则

为了检测上述不安全的用法，我们在HP Fortify SCA的12个自定义规则中对以下检查进行了编码。这些规则确定了依赖于JSSE和Apache HTTPClient的代码中的问题，源代码扫描工具fortify扫描，因为它们是厚客户端和Android应用程序的广泛使用的库。

超许可主机名验证器：当代码声明一个HostnameVerifier时，该规则被触发，并且它总是返回'true'。

函数f：f.name是“verify”和f.pers

包含[Class：name ==“.nameVerifier”]和

f.parameters [0] .是“ng.String”和

f.parameters [1] .是“.ssl.SSLSession”和

f.是“boolean”，f包含

[ReturnStatement r：r.expression.ctantValue matches“true”]

]]>

过度允许的信任管理器：当代码声明一个TrustManager并且它不会抛出一个CertificateException时触发该规则。抛出异常是API管理意外状况的方式。

函数f：f.name是“checkServerTrusted”和

f.parameters [0] .是“curity.cert.X509Certificate”

和f.parameters [1] .是“ng.String”和

f.是“void”而不是f包含[ThrowStatement t：

t.rs包含[Class：name ==

“（curity.cert.CertificateException | curity.cert.CertificateException）”]

]]>

缺少主机名验证：当代码使用低级SSLSocket API并且未设置HostnameVerifier时，源代码扫描工具fortify 价格，将触发该规则。

经常被误用：自定义HostnameVerifier：当代码使用HttpsURLConnection API并且它设置自定义主机名验证器时，该规则被触发。

经常被误用：自定义SSLSocketFactory：当代码使用HttpsURLConnection API并且它设置自定义SSLSocketFactory时，该规则被触发。

我们决定启动“经常被滥用”的规则，因为应用程序正在使用API，并且应该手动审查这些方法的重写。

规则包可在Github上获得。这些检查应始终在源代码分析期间执行，以确保代码不会引入不安全的SSL / TLS使用。

https:///GDSSecurity/JSSE_Fortify_SCA_Rules

AuthorAndrea Scaduto |评论关闭|分享文章分享文章

标签TagCustom规则，CategoryApplication安全性中的TagSDL，CategoryCustom规则