Fortify软件
强化静态代码分析器
使软件更快地生产
完整的软件安全测试和管理
安全和DevOps,“新”SDLC。
应用程序经济的快速增长挑战了传统的软件开发生命周期,推动更多敏捷的流程,自动化和更多的协作跨开发,质量保证和安全操作。看看appsec是什么意思
阅读博客
software_solutionssecure_sdlc_interstitial_image_472x266_tcm245_2355047_tcm245_2355042_tcm245-g
DevOps的安全状态
应用安全和DevOps报告2016。
阅读更多
应用安全产品
DAST
强化WebInspect
自动化的动态安全测试工具,以查找和优先考虑可利用的网络漏洞。
学到更多
SAST
强化静态代码分析器
自动静态代码分析,帮助开发人员消除漏洞并构建安全软件。
学到更多
软件安全
Fortify软件安全中心
管理整个安全SDLC的软件风险 - 从开发到质量保证和生产。
学到更多
应用安全测试
按需加强
应用安全即服务。
学到更多
RASP
强化应用程序防御者
通过运行时应用程序自我保护来保护内部的生产应用程序。
学到更多
安全代码开发
强化DevInspect
通过从一开始就编写安全代码来实现敏捷开发。赋予您的开发者权力
学到更多
Fortify软件
强化静态代码分析器
使软件更快地生产
如何解决Fortify报告的扫描问题
跳到元数据结束
由Matthew Condell创建,后由Charles Williams于二零零七年六月二十六日修改,转到元数据的开始
这个页面已经被供应商公开了
图标
题
在扫描我的应用程序时,Fortify报告了错误或警告。如何解决这些错误?
回答
Fortify可能会报告一些不同的错误消息。这里将列出常见的错误消息以及指向其他技术说明的指针,其中提供了有关如何解决这些问题的信息。要检索错误消息列表,请按照“如何查看Fortify报告的错误消息”中的说明进行操作。它也可能有助于生成调试日志文件,可以更好地了解问题。
常见的错误消息及其解决方案包括:
错误代码
错误信息
笔记
N / A分析期间没有发生警告没有发生错误。扫描很好去
N / A执行预编译时出错如何解决“执行预编译时出错”
-1错位的关闭标签[...]此错误可能不会影响扫描结果,但建议检查引用的文件以查看是否有错放的HTML标签。
1001,1381,1554,10000,...
解析文件或语法错误时出错如何解决文件解析或语法错误
1103转换器执行失败。这是Fortify 16.20扫描C#6 / VB 14代码的一个知识问题。请参阅以下博客文章以获取有关如何处理的信息:Fortify 16.20“C#6 / VB 14”中的“转换器执行失败”错误
1105,1480没有足够的内存可用来完成分析增加分配给Fortify的内存量:如何增加Fortify进行翻译的内存
1114功能。 。 。对于详尽的数据流分析来说太复杂了,进一步的分析将被跳过(堆栈)如何解决“功能...太复杂”错误
Fortify软件
强化静态代码分析器
使软件更快地生产
“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书»
强化针对JSSE API的SCA自定义规则滥用
安全套接字层(SSL / TLS)是使用加密过程提供身份验证,机mi性和完整性的广泛使用的网络安全通信协议。为确保该方的身份,必须交换和验证X.509证书。一方当事人进行身份验证后,协议将提供加密连接。用于SSL加密的算法包括一个安全的散列函数,保证了数据的完整性。
当使用SSL / TLS时,必须执行以下两个步骤,以确保中间没有人篡改通道:
证书链信任验证:X.509证书指ding颁发证书的证书颁发机构(CA)的名称。服务器还向客户端发送中间CA的证书列表到根CA。客户端验证每个证书的签名,到期(以及其他检查范围,例如撤销,基本约束,策略约束等),从下一级到根CA的服务器证书开始。如果算法到达链中的后一个证书,没有违规,则验证成功。
主机名验证:建立信任链后,客户端必须验证X.509证书的主题是否与所请求的服务器的完全限定的DNS名称相匹配。 RFC2818规定使用SubjectAltNames和Common Name进行向后兼容。
当安全地使用SSL / TLS API并且可能导致应用程序通过受攻击的SSL / TLS通道传输敏感信息时,可能会发生以下错误使用情况。
证明所有证书
应用程序实现一个自定义的TrustManager,使其逻辑将信任每个呈现的服务器证书,而不执行信任链验证。
TrustManager [] trustAllCerts = new TrustManager [] {
新的X509TrustManager(){
...
public void checkServerTrusted(X509Certificate [] certs,
String authType){}
}
这种情况通常来自于自签证书被广泛使用的开发环境。根据我们的经验,我们通常会发现开发人员完全禁用证书验证,而不是将证书加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。
当这种情况发生时,它类似于从烟雾探测器中取出电池:检测器(验证)将仍然存在,提供错误的安全感,因为它不会检测烟雾(不可信方)。实际上,当客户端连接到服务器时,验证例程将乐意接受任何服务器证书。
在GitHub上搜索上述弱势代码可以返回13,823个结果。另外在StackOverflow上,一些问题询问如何忽略证书错误,获取类似于上述易受攻击的代码的回复。这是关于投piao答案建议禁用任何信任管理。
以上信息由专业从事源代码审计工具fortify规则库的华克斯于2024/7/21 6:15:58发布
转载请注明来源:http://m.tz1288.com/qynews/hksxxkj-2789018064.html
