fortify sca 分公司-华克斯

fortify软件

强化静态代码分析器

使软件更快地生产

“将findbugs xml转换为hp fortify sca fpr | main | ca---身份管理员安全研究---?

强化针对jsse api的sca自定义规则---

允许所有的行动

应用程序不检查服务器发送的数字---是否发送到---正在连接的url。

java---接字扩展（jsse）提供两组api来建立安全通信，一个---httpsurlconnection api和一个低级sslsocket api。

httpsurlconnection api默认执行主机名验证，再次可以通过覆盖相应的hostnameverifier类中的verify（）方法来禁用（在github上搜索以下代码时，大约有12，800个结果）。

hostnameverifier allhostsvalid = new hostnameverifier（）{

public boolean verify（string hostname，sslsession session）{

         返回真

  }

};

sslsocket api不开箱即可执行主机名验证。以下代码是java 8片段，仅当端点标识算法与空字符串或null值不同时才执行主机名验证。

private void checktrusted（x509certificate [] chain，string authtype，sslengine engine，boolean isclient）

throws certificateexception {

 ...

 string identityalg = engine.getsslparameters（）。

           getendpointidentificationalgorithm（）;

 if（identityalg！= null && identityalg.length（）！= 0）{

           checkidentity（session，chain [0]，identityalg，isclient，

                   getrequestedservernames（发动机））;

 }

 ...

}

当ssl / tls---使用原始的sslsocketfactory而不是httpsurlconnection包装器时，识别算法设置为null，因此主机名验证被默认跳过。因此，如果攻击者在---连接到“domain.com”时在网络上具有mitm位置，则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器---。

这种记录的行为被掩埋在jsse参考指南中：

“当使用原始sslsocket和sslengine类时，您应该始终在发送任何数据之前检查对等体的凭据。 sslsocket和sslengine类不会自动验证url中的主机名与对等体凭

fortify软件

强化静态代码分析器

使软件更快地生产

hp fortify静态代码分析器

hp fortify sca通过可用的全mian的安全编码规则提供---原因的漏洞检测，并支持广泛的语言，平台，构建环境（集成开发环境或ide）和软件组件api。

进行静态分析，以确定源代码中的安全漏洞的---原因

检测超过480种类型的软件安全漏洞，涵盖20种开发语言 - 业界多。

根据风险---程度排序优先级结果，并指导如何修复代码行详细信息中的漏洞

---符合应用程序安全性要求

硬件要求

hp fortify software建议您在具有至少1 gb ram的---处理器上安装hp fortify静态代码分析器（sca）。

平台和架构

hp fortify sca支持以下平台和架构：

操作系统架构版本

linux x86：32位和64位fedora core 7

红帽es 4，es5

novell suse 10

oracle el 5.2

windows?x86：32位和64位7 sp1

2017年

win10

vista业务

vista ultimate

windows 7的

windows?x86：32位2000

mac os x86 10.5，10.6

oracle solaris sparc 8，9，10

86 10

hp-ux pa-risc 11.11

aix 5.2 ppc

freebsd x86：32位6.3，7.0