源代碼掃描工具fortify-華克斯

Fortify?SCA 掃描的結果如下：

Fortify SCA 的結果文件為.FPR 文件，包括詳細的漏洞信息：漏

洞分類，漏洞產生的全路徑，漏洞所在的源代碼行，漏洞的詳細說明 及修復建議等。如下：

分級報告漏洞的信息 ? ? ? ? ? ? ? ? ? ? ?項目的源代碼 ? ? ? ? ? ? ? ? 漏洞推薦修復的方法

漏洞產生的全路

徑的跟蹤信息

漏洞的詳細說明

圖2：Foritfy AWB ?查看結果

3．Fortify SCA 支持的平臺：

4．Fortify

SCA 支持的編程語言：

5．Fortify SCA plug-In

支持的有:

6．Fortify SCA 目前能夠掃描的安全漏洞種類有：

目前Fortify SCA可以掃描出約 300

種漏洞，Fortify將所有安全

漏洞整理分類，根據開發(fā)語言分項目，再細分為 8 個大類，約

300

個 子類：

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

允許所有的行動

應用程序不檢查服務器發(fā)送的數字證書是否發(fā)送到客戶端正在連接的URL。

Java安全套接字擴展（JSSE）提供兩組API來建立安全通信，一個HttpsURLConnection API和一個低級SSLSocket API。

HttpsURLConnection API默認執(zhí)行主機名驗證，再次可以通過覆蓋相應的HostnameVerifier類中的verify（）方法來禁用（在GitHub上搜索以下代碼時，大約有12，800個結果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

返回真

}

};

SSLSocket API不開箱即可執(zhí)行主機名驗證。以下代碼是Java 8片段，僅當端點標識算法與空字符串或NULL值不同時才執(zhí)行主機名驗證。

private void checkTrusted（X509Certificate [] chain，源代碼掃描工具fortify代理商，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

...

String identityAlg = engine.getSSLParameters（）。

getEndpointIdentificationAlgorithm（）;

if（identityAlg！= null && identityAlg.length（）！= 0）{

checkIdentity（session，chain [0]，identityAlg，isClient，

getRequestedServerNames（發(fā)動機））;

}

...

}

當SSL / TLS客戶端使用原始的SSLSocketFactory而不是HttpsURLConnection包裝器時，識別算法設置為NULL，因此主機名驗證被默認跳過。因此，如果攻擊者在客戶端連接到“”時在網絡上具有MITM位置，則應用程序還將接受為“some-evil-”頒發(fā)的有效的服務器證書。

這種記錄的行為被掩埋在JSSE參考指南中：

“當使用原始SSLSocket和SSLEngine類時，您應該始終在發(fā)送任何數據之前檢查對等體的憑據。 SSLSocket和SSLEngine類不會自動驗證URL中的主機名與對等體憑

Fortify軟件

強化靜態(tài)代碼分析器

使軟件更快地生產

“將FINDBUGS XML轉換為HP FORTIFY SCA FPR | MAIN | CA特權身份管理員安全研究白皮書?

強化針對JSSE API的SCA自定義規(guī)則濫用

安全套接字層（SSL / TLS）是使用加密過程提供身份驗證，機mi性和完整性的廣泛使用的網絡安全通信協(xié)議。為確保該方的身份，必須交換和驗證X.509證書。一方當事人進行身份驗證后，協(xié)議將提供加密連接。用于SSL加密的算法包括一個安全的散列函數，保證了數據的完整性。

當使用SSL / TLS時，必須執(zhí)行以下兩個步驟，以確保中間沒有人篡改通道：

證書鏈信任驗證：X.509證書指ding頒發(fā)證書的證書頒發(fā)機構（CA）的名稱。服務器還向客戶端發(fā)送中間CA的證書列表到根CA?？蛻舳蓑炞C每個證書的簽名，到期（以及其他檢查范圍，例如撤銷，源代碼掃描工具fortify，基本約束，策略約束等），從下一級到根CA的服務器證書開始。如果算法到達鏈中的后一個證書，沒有違規(guī)，則驗證成功。

主機名驗證：建立信任鏈后，客戶端必須驗證X.509證書的主題是否與所請求的服務器的完全限定的DNS名稱相匹配。 RFC2818規(guī)定使用SubjectAltNames和Common Name進行向后兼容。

當安全地使用SSL / TLS API并且可能導致應用程序通過受攻擊的SSL / TLS通道傳輸敏感信息時，可能會發(fā)生以下錯誤使用情況。

證明所有證書

應用程序實現一個自定義的TrustManager，使其邏輯將信任每個呈現的服務器證書，而不執(zhí)行信任鏈驗證。

TrustManager [] trustAllCerts = new TrustManager [] {

新的X509TrustManager（）{

...

public void checkServerTrusted（X509Certificate [] certs，源代碼掃描工具fortify服務商，

String authType）源代碼掃描工具fortify代理商

}

這種情況通常來自于自簽證書被廣泛使用的開發(fā)環(huán)境。根據我們的經驗，我們通常會發(fā)現開發(fā)人員完全禁用證書驗證，而不是將證書加載到密鑰庫中。這導致這種危險的編碼模式意外地進入生產版本。

當這種情況發(fā)生時，它類似于從煙霧探測器中取出電池：檢測器（驗證）將仍然存在，提供錯誤的安全感，源代碼掃描工具fortify sca，因為它不會檢測煙霧（不可信方）。實際上，當客戶端連接到服務器時，驗證例程將樂意接受任何服務器證書。

在GitHub上搜索上述弱勢代碼可以返回13，823個結果。另外在StackOverflow上，一些問題詢問如何忽略證書錯誤，獲取類似于上述易受攻擊的代碼的回復。這是關于投piao建議禁用任何信任管理。