广西fortify规则库-苏州华克斯信息

FortifySCA可配置的保护模式

拦截恶意数据,回应恶意的挑战,执行自订的动作

为生产下的应用系统进行执行期的安全分析

接近零影响运作效能

提供广泛而充分的安全事件报告

实时监测各种攻击和各种跟安全有关的行为

Call Site? 监测50种 API及侦cha12类黑de行为

为安全事件进行时间性关联分析

满足监管机构规定的要求

PCI, HIPPA, OWASP Top Ten







FortifySCA介绍  

支持对测试结果进行分类或划分,并分发给不同的人进行确认和修复。

·        

对工具和安全代码规则可以进行集中配置和管理,使分散在不同地点的测试机统一更新,提高了效率,源代码检测工具fortify规则库,保证了版本的一致性。

·        

支持将测试结果在企业内部进行发布,使开发人员,测试人员,安全人员和管理人员可以通过WEB浏览器进行查看和审计。实现多个部门之间的协同工作,加强对问题的快速反应,提高管理能力,提高工作效率。

·        

能够按用户和角色的不同来进行权限的划分,方便企业内各个团队的交流和沟通,同时保证了测试结果的保密性。


Fortify软件

强化静态代码分析器

使软件更快地生产

“将FINDBUGS XML转换为HP FORTIFY SCA FPR | MAIN | CA特权身份管理员安全研究白皮书?

强化针对JSSE API的SCA自定义规则滥用

安全套接字层(SSL / TLS)是使用加密过程提供身份验证,广西fortify规则库,机mi性和完整性的广泛使用的网络安全通信协议。为确保该方的身份,必须交换和验证X.509证书。一方当事人进行身份验证后,协议将提供加密连接。用于SSL加密的算法包括一个安全的散列函数,保证了数据的完整性。

当使用SSL / TLS时,必须执行以下两个步骤,以确保中间没有人篡改通道:

证书链信任验证:X.509证书指ding颁发证书的证书颁发机构(CA)的名称。服务器还向客户端发送中间CA的证书列表到根CA。客户端验证每个证书的签名,到期(以及其他检查范围,例如撤销,基本约束,策略约束等),从下一级到根CA的服务器证书开始。如果算法到达链中的后一个证书,没有违规,则验证成功。

主机名验证:建立信任链后,客户端必须验证X.509证书的主题是否与所请求的服务器的完全限定的DNS名称相匹配。 RFC2818规定使用SubjectAltNames和Common Name进行向后兼容。

当安全地使用SSL / TLS API并且可能导致应用程序通过受攻击的SSL / TLS通道传输敏感信息时,可能会发生以下错误使用情况。

证明所有证书

应用程序实现一个自定义的TrustManager,使其逻辑将信任每个呈现的服务器证书,而不执行信任链验证。

TrustManager [] trustAllCerts = new TrustManager [] {

       新的X509TrustManager(){

...

  public void checkServerTrusted(X509Certificate [] certs,

                String authType)fortify规则库

}

这种情况通常来自于自签证书被广泛使用的开发环境。根据我们的经验,源代码检测工具fortify规则库,我们通常会发现开发人员完全禁用证书验证,源代码审计工具fortify规则库,而不是将证书加载到密钥库中。这导致这种危险的编码模式意外地进入生产版本。

当这种情况发生时,它类似于从烟雾探测器中取出电池:检测器(验证)将仍然存在,提供错误的安全感,因为它不会检测烟雾(不可信方)。实际上,当客户端连接到服务器时,验证例程将乐意接受任何服务器证书。

在GitHub上搜索上述弱势代码可以返回13,823个结果。另外在StackOverflow上,一些问题询问如何忽略证书错误,获取类似于上述易受攻击的代码的回复。这是关于投piao建议禁用任何信任管理。



广西fortify规则库-苏州华克斯信息由苏州华克斯信息科技有限公司提供。“Loadrunner,Fortify,源代码审计,源代码扫描”选择苏州华克斯信息科技有限公司,公司位于:苏州工业园区新平街388号,多年来,华克斯坚持为客户提供好的服务,联系人:华克斯。欢迎广大新老客户来电,来函,亲临指导,洽谈业务。华克斯期待成为您的长期合作伙伴!

苏州华克斯信息科技有限公司
姓名: 华克斯 先生
手机: 13862561363
业务 QQ: 3521016152
公司地址: 苏州工业园区新平街388号
电话: 0512-62382981
传真: 0512-62382981