Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?
强化针对JSSE API的SCA自定义规则滥用
允许所有的行动
应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。
Java安全套接字扩展(JSSE)提供两组API来建立安全通信,一个HttpsURLConnection API和一个低级SSLSocket API。
HttpsURLConnection API默认执行主机名验证,再次可以通过覆盖相应的HostnameVerifier类中的verify()方法来禁用(在GitHub上搜索以下代码时,源代码审计工具fortify,大约有12,800个结果)。
HostnameVerifier allHostsValid = new HostnameVerifier(){
public boolean verify(String hostname,SSLSession session){
返回真
}
};
SSLSocket API不开箱即可执行主机名验证。以下代码是Java 8片段,仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。
private void checkTrusted(X509Certificate [] chain,源代码审计工具fortify报告中文插件,String authType,SSLEngine engine,boolean isClient)
throws CertificateException {
...
String identityAlg = engine.getSSLParameters()。
getEndpointIdentificationAlgorithm();
if(identityAlg!= null && identityAlg.length()!= 0){
checkIdentity(session,源代码审计工具fortify采购,chain [0],identityAlg,isClient,
getRequestedServerNames(发动机));
}
...
}
当SSL / TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时,识别算法设置为NULL,因此主机名验证被默认跳过。因此,如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置,则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。
这种记录的行为被掩埋在JSSE参考指南中:
“当使用原始SSLSocket和SSLEngine类时,您应该始终在发送任何数据之前检查对等体的凭据。 SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭
HPFortifySCA简介
1.软件基本功能
·
安全漏洞检测需拥有目前业界quan威的代码漏洞规则库,能够检测出600种以上的问题
·
支持多种常见编程语言,包括ASP.NET,C,源代码审计工具fortify 价格,C++,C#,Classic
ASP, Flex/ActionScript,Java,JavaScript/AJAX,JSP,Objective
C,PL/SQL,PHP,T-SQL,VB.NET,VBScript,VB6,XML/HTML,Python,
ColdFusion, COBOL, ABAP等语言。
·
支持多种IDE,较好地和现有成熟的软件开发环境集成。如:Visual Studio 2003、2005、2008、2010、2012,Eclipse 2.X、 3.X,WSAD,RAD工具等。
·
支持多种操作系统,即可以安装在所有主流操作系统中,如:Windows、 Linux 、AIX、HP-Unix、 Solaris、Mac OS等。
·
工具生成的测试结果报告文档包含详尽的中文漏洞说明和修复指导建议。
·
工具的技术达到国际ling先水平和地位,有国际/国内机构的奖励和证书或对WASC/OWASP组织有重要贡献。在ju的IT研究咨询机构Gartner的xin报告中,应该位于魔力象限的di一象限业界地位。
Fortify SCA 领xian的市场份额全世界da的银行的9家、大型IT基建供应商、大型独立软体公司支持市场上流xing、duo样化的编程語言领xian解決方案获奖产品。支持整个开发周期超过150项庞da的安全编码规则包的安装部署与Fortune100 企业及大型ISVs
开发出來的jia做法由世界顶jian安全鉴定。
成功案例:中国海关、北京信息安全测评中心、国家信息技术安全研究中心、中国建设银行、中国银联、中国邮政储蓄银行
、浦东发展银行、中国民生银行、北京银行、中国平安、中信银行、上海银行、安利集团、中华英才网、、海南航空……
苏州华克斯信息-源代码审计工具fortify 价格由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务,公司拥有“Loadrunner,Fortify,Webinspect”等品牌,专注于行业软件等行业。,在苏州工业园区新平街388号的名声不错。欢迎来电垂询,联系人:华克斯。