Fortify安全扫描Java Android 代码审计 问题及解决方案整理

最新推荐文章于 2023-12-26 09:00:00 发布
最新推荐文章于 2023-12-26 09:00:00 发布
阅读量7.6k 收藏 8
点赞数
分类专栏: android Java 文章标签: Java Andorid Fortify 安全扫描 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FRYAN28/article/details/102578875
版权

Access Control: SecurityManager Bypass

Explanation

使用通过即时调用者的类加载器检查执行任务的 Java API 时应小心谨慎。这些 API 会绕过可确保已向执行链中的所有调用者授予了必需安全权限的 SecurityManager 检查。由于这些 API 可能会削弱系统安全性,因此不应在不可信认的代码上调用它们。
在这种情况下:
1. 可以通过公用函数访问封闭函数。
2. 当前应用程序存在 Process Control 和/或 Unsafe JNI (Java Native Interface) 漏洞。上述两个结果表明当前应用程序从不可信认的来源或不可信认的环境中加载库。不可信认的库可以使用 JNI访问此易受攻击的 API,从而获取对受限制程序包的访问权限并执行任意代码,导致应用程序容易受到远程攻击。
注:只有当应用程序配置有 SecurityManager 且代码包含在具有特定权限的类中时,此结果才适用。有关SecurityManager 和此漏洞的更多详细信息,请参见“Secure Coding Guidelines for the Java Programming Language”中的准则 9。

Recommendation

确保这些敏感的 API 无法通过不可信认的代码进行访问,并且无法在不可信认的代码上进行调用。此外,不得将此方法返回的对象传播回不可信认的代码。有关此漏洞的更多详细信息,请参见“Secure Coding Guidelines for the Java Programming Language”中的准则 9。

Access Specifier Manipulation

Explanation

AccessibleObject API 允许程序员绕过由 Java 访问说明符提供的 access control 检查。特别是它让程序员能够允许反映对象绕过 Java access control,并反过来更改私有字段或调用私有方法、行为,这些通常情况下都是不允许的。

Recommendation

只能使用攻击者无法设置的参数,通过有权限的类更改访问说明符。所有出现的访问说明符都应仔细检查。

Android Bad Practices: Missing Component Permission

Explanation

任何应用程序都能访问在显式定义中未明确分配访问权限的公共组件。Android 应用程序中活动、接收者和服务组件的 exported 属性的默认值取决于 intent-filter 是否存在。如果存在 intent-filter,说明该组件可供外部使用。因此应将 exported 属性设为 true。这样该组件就能被 Android 平台上的其他任何应用程序访问。

Recommendation

没有明确的访问权限的组件应该为异常。除非该组件确实需要被所有应用程序访问,否则开发人员应该通过在显式文件中明确定义访问权限来保护组件,以免其被恶意应用程序滥用。

Code Correctness: Class Does Not Implement equals

Explanation

当比较对象时,开发人员通常希望比较对象的属性。然而,在没有明确实现 equals() 的类(或任何超类/接口)上调用 equals() 会导致调用继承自 java.lang.Object 的 equals() 方法。Object.equals()将比较两个对象实例,查看它们是否相同,而不是比较对象成员字段或其他属性。尽管可以合法地使用Object.equals(),但这通常表示存在错误代码。
例 1:

public class AccountGroup
{
private int gid;
public int getGid() { return gid; }
public void setGid(int newGid) { gid = newGid; } }
...
public class CompareGroup { 
    public boolean compareGroups(AccountGroup group1, AccountGroup group2) { 
    return group1.equals(group2); //equals() is not implemented in AccountGroup 
    } 
}

Recommendation

验证 Object.equals() 的使用确实是您要调用的方法。如果不是,那么可实现 equals() 方法,或者使用其他方法来比较对象。

例 2:以下代码将 equals() 方法添加到“说明”部分中的示例。

public class AccountGroup
{
private int gid;
public int getGid()
{
return gid;
}
public void setGid(int newGid)
{
gid = newGid;
}
public boolean equals(Object o)
{
if (!(o instanceof AccountGroup))
return false;
AccountGroup other = (AccountGroup) o;
return (gid == other.getGid());
}
}
...
public class CompareGroup
{
public static boolean compareGroups(AccountGroup group1, AccountGroup
group2)
{
return group1.equals(group2);
}
}

Code Correctness: Double-Checked Locking

Explanation

许多才智卓越的人都试图使用 double-checked locking 方法来提高性能,并为此付出了大量的时间,但是无一成功。
例 1:乍一看,下列代码似乎既能避免不必要的同步又能保证线程的安全性。

if (fitz == null) {
    synchronized (this) {
        if (fitz == null) {
            fitz = new Fitzer();
        }
    }
}
return fitz;

程序员希望保证仅分配一个 Fitzer() 对象,但又不希望每次调用该代码时都进行一次同步。这就是所谓的double-checked locking 方法。令人遗憾的是,它并不起作用,并且可以分配多个 Fitzer() 对象。有关更多详细信息,请参见 The
"Double-Checked Locking is Broken" Declaration [1]。

Recommendation

其实同步所花费的代价比想象中的要少。许多情况下,最好的方法就是采用最简单的解决方法。
例 2: 例 1 中的代码应该用以下方式重写:

synchronized (this) {
    if (fitz == null) {
        fitz = new Fitzer();
    }
    return fitz;
}

Insecure Randomness

Explanation

在对安全性要求较高的环境中,使用一个能产生可预测数值的函数

最低0.47元/天 解锁文章
Swallow~
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android安全测试工具Drozer coverity fortify
weixin_33919950的博客
06-18 478
Mark,之后整理。 工具下载地址     https://pan.baidu.com/s/1dfxOYZoIvkHL733z-EQKeA 提取码:bv5u 使用方法     1、app端安装drozer.apk文件,打开设置为enable     2、进入drozer安装目录,执行adb forward tcp:31415 tcp:31415进行端口转发 ...
Android Studio安裝Fortify插件步驟
qq_35945993的博客
07-06 195
1. 安裝Fortify,掃描Android項目。Setup時勾選IntelliJ IDEA Analysis,其他默認勾選。2.Android Studio 安裝Fority插件 1、2參考fortify工具_你需要知道Fortify的使用_stletshow的博客-CSDN博客 2.13. Fortify Analysis Settings下 Analysis Configuration無Security Content内容,原因:安裝完Fortify后提示:是否勾選Update security co
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 4167
Fortity 安全评测结果及解决方案
常见codeDEX问题及处理方案
力挽狂澜的POWER
06-18 2134
Fortify工具介绍 Fortify静态代码分析器(SCA)通过以更少的工作量,更短的时间识别漏洞并保持代码质量,在帮助创建安全软件方面发挥着重要作用。Fortify SCA检测到其他静态测试技术无法比拟的广泛问题Fortify软件安全研究组是一个全球团队,被业界公认为监控新兴威胁的顶级安全组织,他们的知识汇集到Fortify SCA(以及所有其他Fortify产品)中,因此组织可以掌握最新的威胁。 摘自官网:https://www.microfocus.com/en-us/products/sta
Java安全代码审计介绍及扫描工具Fortify详解
06-12
本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计扫描工具Fortify,该工具在...
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
Fortify代码扫描 Java提供解决方案支撑
07-09
Fortify问题解决工具类
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
下面,我们将介绍 Fortify 代码审计中常见的扫描漏洞原理与修复意见。 1. 系统信息泄露(System Information Leak) 系统信息泄露是一种常见的漏洞,它发生在代码中泄露了系统敏感信息,例如操作系统版本、数据库...
代码审计神器Fortify - Fortify SCA 20.1.1
12-24
[ 代码审计篇 ] Fortify安装及使用详解(一)Fortify安装并设置语言为中文导出中文报告 Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流...
Unsafe JNI 问题常见修复方法
李哥的博客
04-22 1698
第三方进行安全漏洞扫描出现Unsafe JNI问题 会引起安全问题原因是Java Native Interface(JNI)应用不当会导致 Java 应用程序容易受到其他语言的安全漏洞攻击。 解决方法: 不用使用native的本地方法即可。 1.system.currentTimeMillis(); 1)使用SystemClock.now()替换。 2.isAssignableFrom(); 1)使用 obj instanceof XXX 2)使用ClassUtils.isAssign
Fortify漏洞之 Privacy Violation(隐私泄露)和 Null Dereference(空指针异常)
arkqyo2595的博客
05-14 6970
  继续对Fortify的漏洞进行总结,本篇主要针对Privacy Violation(隐私泄露)和Null Dereference(空指针异常)的漏洞进行总结,如下: 1.1、产生原因: Privacy Violation 会在以下情况下发生: 1. 用户私人信息进入了程序。 2. 数据被写到了一个外部介质,例如控制台、file system 或网络。 示例 ...
NullPointerException(空指针异常) 常出现的原因和解决步骤
Java开源程序猿
12-26 5336
Java 开发中经常遇到的一种运行时异常,通常是因为在访问对象或调用对象的方法时,对象的引用为null。以下是常见导致。
btye[] b = new byte[1024]
origination_star的博客
06-21 5019
btye[] b = new byte[1024];   1024是作为缓冲区的大小。作用就是:作为缓冲区大小的作用,会影响导出时占用内存大小。    即说你先定义了一个byte类型的数组,数组长度为1024。也就是说你最多可以存1024个字节的东西,如果超过这个值就会报溢出的异常了    1024b=1k 一般我们定义缓冲区基本上是1024的整数倍       InputSt
常见fortify漏洞与整改规则
chastera的博客
04-07 2470
网页劫持:除了利用一个易受攻击的应用程序向用户传输恶意内容,还可以利用相同的根漏洞,将服务器生成的供用户使用的敏感内容重定向,转而供攻击者使用。攻击者通过提交一个会导致两个响应的请求,即服务器做出的预期响应和攻击者创建的响应,致使某个中间节点(如共享的代理服务器)误导服务器所生成的响应,将本来应传送给用户的响应错误地传给攻击者。这时,攻击者将第二个请求发送给服务器,代理服务器利用针对受害者(用户)的、由该服务器产生的这一请求对服务器做出响应,因此,针对受害者的这一响应中会包含所有头文件或正文中的敏感信息。
Class does not Implement Equals——Code Correctness(代码正确性)
weixin_30439131的博客
03-27 702
系列文章目录: 使用Fortify进行代码静态分析(系列文章) class does not implement equals(类未能实现Equals方法) 示例: 1 protected void Check_Clicked(Object sender, EventArgs e) 2 { 3 for (int i = 0; i &...
Race Condition(资源竞争) 解决方案总结
热门推荐
AlexZhang67的博客
02-21 1万+
在很多门课上都接触到race condition, 其中也举了很多方法解决这个问题。于是想来总结一下这些方法。 Race condition 它旨在描述一个系统或者进程的输出依赖于不受控制的事件出现顺序或者出现时机。此词源自于两个信号试着彼此竞争,来影响谁先输出。 举例来说,如果计算机中的两个进程同时试图修改一个共享内存的内容,在没有并发控制的情况下,最后的结果依赖于两个进程的执行顺序与
Fortify分析翻译1
flashtree的专栏
09-02 9969
 一。分析方法概述: 1.       以下为Fortify工具归纳的几种项目代码漏洞类型: 1.1. Analyzers: Data Flow数据流分析 原文:Follows the propagation of tainted data starting from a Source (function that introduces any input source to the progra
fortify 代码扫描 出现Access Control: Database 解决不了
最新发布
03-21
Fortify代码扫描是一种静态代码分析工具,用于检测软件代码中的安全漏洞和潜在的软件缺陷。"Access Control: Database"是Fortify扫描结果中的一种问题,它通常表示代码中存在对数据库访问的权限控制问题。 解决"Access Control: Database"问题的方法取决于具体的代码和应用场景。一般来说,以下几个方面可能需要考虑: 1. 访问控制规则:确保在访问数据库之前进行适当的权限检查和验证,以确保只有经过授权的用户可以执行相关操作。 2. 输入验证和过滤:对于从用户输入获取的数据,应该进行适当的验证和过滤,以防止恶意用户通过构造恶意输入来绕过访问控制。 3. 数据库权限设置:确保数据库的访问权限设置正确,并且只有需要访问数据库的用户或角色具有相应的权限。 4. 安全编码实践:采用安全编码实践,如避免使用硬编码的凭证、使用参数化查询等,以减少安全漏洞的风险。 请注意,以上只是一些常见的解决方法,具体解决方案需要根据具体情况进行评估和实施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值