Fortify?SCA 掃描的結(jié)果如下：

Fortify SCA 的結(jié)果文件為.FPR 文件，包括詳細(xì)的漏洞信息：漏

洞分類，漏洞產(chǎn)生的全路徑，漏洞所在的源代碼行，漏洞的詳細(xì)說明 及修復(fù)建議等。如下：

分級(jí)報(bào)告漏洞的信息 ? ? ? ? ? ? ? ? ? ? ?項(xiàng)目的源代碼 ? ? ? ? ? ? ? ? 漏洞推薦修復(fù)的方法

漏洞產(chǎn)生的全路

徑的跟蹤信息

漏洞的詳細(xì)說明

圖2：Foritfy AWB ?查看結(jié)果

3．Fortify SCA 支持的平臺(tái)：

4．Fortify

SCA 支持的編程語言：

5．Fortify SCA plug-In

支持的有:

6．Fortify SCA 目前能夠掃描的安全漏洞種類有：

目前Fortify SCA可以掃描出約 300

種漏洞，F(xiàn)ortify將所有安全

漏洞整理分類，根據(jù)開發(fā)語言分項(xiàng)目，再細(xì)分為 8 個(gè)大類，約

300

個(gè) 子類：

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用

允許所有的行動(dòng)

應(yīng)用程序不檢查服務(wù)器發(fā)送的數(shù)字證書是否發(fā)送到客戶端正在連接的URL。

Java安全套接字?jǐn)U展（JSSE）提供兩組API來建立安全通信，一個(gè)HttpsURLConnection API和一個(gè)低級(jí)SSLSocket API。

HttpsURLConnection API默認(rèn)執(zhí)行主機(jī)名驗(yàn)證，再次可以通過覆蓋相應(yīng)的HostnameVerifier類中的verify（）方法來禁用（在GitHub上搜索以下代碼時(shí)，大約有12，800個(gè)結(jié)果）。

HostnameVerifier allHostsValid = new HostnameVerifier（）{

public boolean verify（String hostname，SSLSession session）{

返回真

}

};

SSLSocket API不開箱即可執(zhí)行主機(jī)名驗(yàn)證。以下代碼是Java 8片段，僅當(dāng)端點(diǎn)標(biāo)識(shí)算法與空字符串或NULL值不同時(shí)才執(zhí)行主機(jī)名驗(yàn)證。

private void checkTrusted（X509Certificate [] chain，源代碼掃描工具fortify代理商，String authType，SSLEngine engine，boolean isClient）

throws CertificateException {

...

String identityAlg = engine.getSSLParameters（）。

getEndpointIdentificationAlgorithm（）;

if（identityAlg！= null && identityAlg.length（）！= 0）{

checkIdentity（session，chain [0]，identityAlg，isClient，

getRequestedServerNames（發(fā)動(dòng)機(jī)））;

}

...

}

當(dāng)SSL / TLS客戶端使用原始的SSLSocketFactory而不是HttpsURLConnection包裝器時(shí)，識(shí)別算法設(shè)置為NULL，因此主機(jī)名驗(yàn)證被默認(rèn)跳過。因此，如果攻擊者在客戶端連接到“”時(shí)在網(wǎng)絡(luò)上具有MITM位置，則應(yīng)用程序還將接受為“some-evil-”頒發(fā)的有效的服務(wù)器證書。

這種記錄的行為被掩埋在JSSE參考指南中：

“當(dāng)使用原始SSLSocket和SSLEngine類時(shí)，您應(yīng)該始終在發(fā)送任何數(shù)據(jù)之前檢查對(duì)等體的憑據(jù)。 SSLSocket和SSLEngine類不會(huì)自動(dòng)驗(yàn)證URL中的主機(jī)名與對(duì)等體憑

Fortify軟件

強(qiáng)化靜態(tài)代碼分析器

使軟件更快地生產(chǎn)

“將FINDBUGS XML轉(zhuǎn)換為HP FORTIFY SCA FPR | MAIN | CA特權(quán)身份管理員安全研究白皮書?

強(qiáng)化針對(duì)JSSE API的SCA自定義規(guī)則濫用

安全套接字層（SSL / TLS）是使用加密過程提供身份驗(yàn)證，機(jī)mi性和完整性的廣泛使用的網(wǎng)絡(luò)安全通信協(xié)議。為確保該方的身份，必須交換和驗(yàn)證X.509證書。一方當(dāng)事人進(jìn)行身份驗(yàn)證后，協(xié)議將提供加密連接。用于SSL加密的算法包括一個(gè)安全的散列函數(shù)，保證了數(shù)據(jù)的完整性。

當(dāng)使用SSL / TLS時(shí)，必須執(zhí)行以下兩個(gè)步驟，以確保中間沒有人篡改通道：

證書鏈信任驗(yàn)證：X.509證書指ding頒發(fā)證書的證書頒發(fā)機(jī)構(gòu)（CA）的名稱。服務(wù)器還向客戶端發(fā)送中間CA的證書列表到根CA?？蛻舳蓑?yàn)證每個(gè)證書的簽名，到期（以及其他檢查范圍，例如撤銷，源代碼掃描工具fortify，基本約束，策略約束等），從下一級(jí)到根CA的服務(wù)器證書開始。如果算法到達(dá)鏈中的后一個(gè)證書，沒有違規(guī)，則驗(yàn)證成功。

主機(jī)名驗(yàn)證：建立信任鏈后，客戶端必須驗(yàn)證X.509證書的主題是否與所請求的服務(wù)器的完全限定的DNS名稱相匹配。 RFC2818規(guī)定使用SubjectAltNames和Common Name進(jìn)行向后兼容。

當(dāng)安全地使用SSL / TLS API并且可能導(dǎo)致應(yīng)用程序通過受攻擊的SSL / TLS通道傳輸敏感信息時(shí)，可能會(huì)發(fā)生以下錯(cuò)誤使用情況。

證明所有證書

應(yīng)用程序?qū)崿F(xiàn)一個(gè)自定義的TrustManager，使其邏輯將信任每個(gè)呈現(xiàn)的服務(wù)器證書，而不執(zhí)行信任鏈驗(yàn)證。

TrustManager [] trustAllCerts = new TrustManager [] {

新的X509TrustManager（）{

...

public void checkServerTrusted（X509Certificate [] certs，源代碼掃描工具fortify服務(wù)商，

String authType）源代碼掃描工具fortify代理商

}

這種情況通常來自于自簽證書被廣泛使用的開發(fā)環(huán)境。根據(jù)我們的經(jīng)驗(yàn)，我們通常會(huì)發(fā)現(xiàn)開發(fā)人員完全禁用證書驗(yàn)證，而不是將證書加載到密鑰庫中。這導(dǎo)致這種危險(xiǎn)的編碼模式意外地進(jìn)入生產(chǎn)版本。

當(dāng)這種情況發(fā)生時(shí)，它類似于從煙霧探測器中取出電池：檢測器（驗(yàn)證）將仍然存在，提供錯(cuò)誤的安全感，源代碼掃描工具fortify sca，因?yàn)樗粫?huì)檢測煙霧（不可信方）。實(shí)際上，當(dāng)客戶端連接到服務(wù)器時(shí)，驗(yàn)證例程將樂意接受任何服務(wù)器證書。

在GitHub上搜索上述弱勢代碼可以返回13，823個(gè)結(jié)果。另外在StackOverflow上，一些問題詢問如何忽略證書錯(cuò)誤，獲取類似于上述易受攻擊的代碼的回復(fù)。這是關(guān)于投piao建議禁用任何信任管理。