Fortify扫描结果.pptVIP

Fortify Source Code Analysis Suite安全扫描介绍 Fortify Source Code Analysis Suite是美国Fortify Software为软件开发企业提供的软件源代码安全漏洞扫描、分析和管理的工具。使用该工具能弥补软件开发人员、安全人员和管理人员在源代码方面的安全知识不足，加速代码安全审计和方便软件安全风险的管理。 Fortify SCA的组成及组件介绍 Fortify Source Code Analysis Engine(源代码安全分析引擎) Fortify Secure Code rules（软件安全代码规则集） Fortify Audit Workbench （安全审计工作台） Fortify Rules Builder(安全代码规则构建器） Fortify Source Code Analysis Suite plug in（Fortify SCA IDE集成开发插件) Fortify Manager（软件安全管理器） 对部分软件版本扫描结果统计（具体解释在后面） 1-SQL注入 根据用户输入来构造一个动态的SQL 语句，这有可能使得攻击者能够修改语句的意思，或者执行任意的SQL 指令。 SQL注入错误发生在： 1） 输入程序的数据来自于不可信源。 2） 这些数据被用于动态构建SQL查询。 1-SQL注入-例 下面的代码动态构建和执行一个SQL查询，查找与给定名称匹配的item。查询限定只有当当前用户名与item的所有者名称匹配时，才向当前用户显示item。 ... String userName = ctx.getAuthenticatedUserName(); String itemName = request.getParameter(itemName); String query = SELECT * FROM items WHERE owner = + userName + AND itemname = + itemName + ; ResultSet rs = stmt.execute(query); ... 1-SQL注入-例 代码中的查询原本希望执行如下语句： SELECT * FROM items WHERE owner = userName AND itemname = itemName; 然而，因为查询语句是通过连接常量字符串和用户输入的字符串来动态构造，所以只有当itemName中不包含单引号字符时，查询才能正确执行。如果一个用户名为wiley的攻击者输入字符串“name OR a=a”作为itemName的值，那么查询会变成如下形式： SELECT * FROM items WHERE owner = wiley AND itemname = name OR a=a; 额外的条件OR a=a导致了子句的值总是为true，于是该查询语句从逻辑上来说等价于： SELECT * FROM items; 1-SQL注入-解决方案 使用参数化的SQL 参数化的SQL请求是防止SQL注入的最好方法 通过row级别的访问控制来使用数据库 不要依赖应用程序访问控制能够保护数据库的数据，限制每个请求使用户只能访问他们自己的数据 2-跨站脚本(Cross-Site Scripting) 向浏览器发送未经验证的数据会使浏览器执行恶意代码 2-跨站脚本 跨站脚本发生在以下两种情况： 1）数据通过不可靠的源进入Web application，大多数情况下是web request 2）包含在动态内容中的数据在没有经过安全检测就发送给网络用户。 发给web浏览器的恶意内容通常以JavaScript段的形式出现，但也包括HTML, Flash或者其他浏览器能够执行的代码类型。基于XSS的攻击种类几乎是无限的，但是它们通常会包括：传送私有数据（如cookies或者其他session信息）给攻击者，将受害者的浏览器重定向到攻击者所控制的web内容中，或者假借有漏洞的站点在用户机器上进行其他恶意操作。 2-跨站脚本-例 Example 1: 下面的JSP 代码段从一个HTTP request中读雇员的eid ，并将它 显示出来，如果eid包含源代码，该源代码就会被浏览器执行。 % String eid = request.getParameter(eid); % ... Employee ID: %= eid % Example 2: 下面的JSP 代码段根据一个雇员的ID在数据库中查询对