fortify漏洞修复笔记

已于 2022-11-18 17:21:00 修改
阅读量1.9k 收藏 3
点赞数 1
分类专栏: 漏洞修复 文章标签: fortify
于 2022-11-18 16:02:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lala12d/article/details/127924474
版权

1.insecure randomness 不安全随机数

解决方法:使用SecureRandom sr = new SecureRandom() 替换Random sr = new Random()

2.Access Specifier Manipulation 漏洞成因:field.setAccessible(true)  ,AccessibleObject允许程序员绕过由java说明符提供的access control检查。并反过来更改私有字段或调用私有方法、行为。

解决方法:使用org.springframework.util.ReflectionUtils 的 makeAccessible 方法来更改属性的访问修饰符。ReflectionUtils.makeAccessible(field);

3.新建工具类,封装jar包,解决扫描问题,针对不好改的。

4.Privacy Violation: Heap Inspection 隐私泄露

解决方法 使用stringbuffer

5.unreleased resource streams 未释放资源

解决方法 我遇到的是getresourceasstream,在finally释放资源

怎么肥事
关注
专栏目录
Linux操作系统加固
悦分享
07-23 1561
如何尽可能地加强Linux的安全性和隐私性?以下列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。
Fortify代码扫描解决方案
weixin_34072159的博客
08-24 5714
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要时...
Fortify漏洞Privacy Violation(隐私泄露)和 Null Dereference(空指针异常)
arkqyo2595的博客
05-14 7266
  继续对Fortify漏洞进行总结,本篇主要针对Privacy Violation(隐私泄露)和Null Dereference(空指针异常)的漏洞进行总结,如下: 1.1、产生原因: Privacy Violation 会在以下情况下发生: 1. 用户私人信息进入了程序。 2. 数据被写到了一个外部介质,例如控制台、file system 或网络。 示例 ...
Fortify漏洞修复总结
weixin_30677475的博客
09-21 3762
1.代码注入 1.1 命令注入 命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,导致程序执行恶意命令的一种攻击方式。 问题代码: $dir = $_POST['dir'] exec("cmd.exe /c dir" + $dir); 修复方案:(1)程序对非受信的用户输入数据进行净化,删...
Sonar&&Fortify漏洞修复
遇到对你这么好的女孩,唯有在她一丈之内。
09-02 6205
Sonar&&Fortify漏洞修复
Foritfy安全漏洞: Server-Side Request Forgery修复记录
ghostp的专栏
07-20 3729
Foritfy安全漏洞: Server-Side Request Forgery修复
关于Fortify中的漏洞以及修复方案
weixin_44755131的博客
04-01 5367
Fortify扫描Access Control:DataBase的漏洞 出现原因 如果在程序中简单的使用findById(String id)这个方法,攻击者就有可能使用脚本进行攻击,使其该表中的所有用户信息。比如 for(int i=0; i<10000;i++){ findById(i); } 通过类似的代码就可以获取所有用户信息。 解决方案 可以通过在该方法上加上别的限定条件。如...
Fortify 5.1漏洞整改方案(1)
chongweimei5390的博客
06-19 2002
很多企业对代码的安全性有着很高的要求,目前使用的较为多的扫描代码安全漏洞的工具为Fortify 5.1。以下为一些漏洞的解决方案,欢迎指正。 1.Password Management: Empty Password 1)简介:为密码变量指定空字符串绝非一个好方法。如果使用 emp...
读书笔记之python渗透测试.docx
04-13
2. **AppScan**:IBM的一款自动化Web应用安全扫描工具,可以自动探测Web应用中的安全漏洞,并提供修复建议。 3. **WAF检测工具**:专门用于检测目标网站是否部署了Web应用防火墙(WAF),以及判断其具体型号或品牌...
JAVA审计学习笔记
ai_64的博客
04-24 807
前言: 代码审计涉及知识面较广,一方面要提高自身代码掌控的能力, 另一方面要多总结一些常用的高效审计技巧。 自动化的工具给出可能存在的缺陷清单,人工审计弥补工具的不足。 工具准备: IDEA、 Eclipse、 Sublime Text、 Fortify SCA(基于源代码)、 Findbugs(基于字节码) 工作环境: 1.甲方公司审计专岗, 一般项目数量都比较多,有自己定制的SDL规范扫描...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2150
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
Fortify解决方案手册.docx
04-23
Fortify解决方案手册.docx
2021-10-11 Pwn练习记录
m0_56897090的博客
10-11 444
文章目录easy题目分析EXP重做note2分析EXP重做[ZJCTF_2019]Easyheap分析EXP重做actf_2019_babystack分析EXP重做gyctf_2020_borrowstack分析EXP重做ciscn_2019_en_3分析EXP重做bjdctf_2020_YDSneedGrirlfrien分析EXP重做gyctf_2020_some_thing_interesting分析EXP重做ACTF_2019_babyheap分析EXP重做Wustctf2020_easyfast分析
常见fortify漏洞与整改规则
chastera的博客
04-07 3011
网页劫持:除了利用一个易受攻击的应用程序向用户传输恶意内容,还可以利用相同的根漏洞,将服务器生成的供用户使用的敏感内容重定向,转而供攻击者使用。攻击者通过提交一个会导致两个响应的请求,即服务器做出的预期响应和攻击者创建的响应,致使某个中间节点(如共享的代理服务器)误导服务器所生成的响应,将本来应传送给用户的响应错误地传给攻击者。这时,攻击者将第二个请求发送给服务器,代理服务器利用针对受害者(用户)的、由该服务器产生的这一请求对服务器做出响应,因此,针对受害者的这一响应中会包含所有头文件或正文中的敏感信息。
43-代码审计(工具Fortify 、Seay审计系统安装及漏洞验证)
XLbb的博客
05-31 2256
检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。工具Fortify 漏洞审计分析:根据工具扫描结果分析风险漏洞成因,手工跟踪相关函数及变量,测试漏洞是否可利用、排除误报可能。通过工具修复建议,手工修复相关漏洞。Seay源代码审计系统使用 Seay是一套开源代码审计系统,使用C# 编写,需要.NET2.0以上版本环境才能运行
fortify 漏洞扫描的几种解决方式
热门推荐
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决。 解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题。 Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
Fortify漏洞Access Control: Database
最新发布
08-23
Fortify漏洞中的"Access Control: Database"是一个安全漏洞类别,它通常指的是应用程序数据库访问控制存在缺陷。这类漏洞允许未授权的用户以不同的方式访问数据库中的数据,可能是通过未正确验证的查询语句、直接SQL注入、不恰当的认证和授权机制等方式。这样的缺陷可能导致敏感信息泄露、数据被篡改甚至完全控制整个数据库系统。 为了防范这类漏洞,通常需要采取以下措施: 1. 实施严格的用户身份验证和授权检查,确保只有授权用户才能访问数据库。 2. 使用参数化查询和预编译语句来防止SQL注入攻击。 3. 应用最小权限原则,为数据库用户仅提供完成其任务所必需的权限,而不是完全的数据库访问权限。 4. 定期进行安全审查和代码审计,以检测和修复可能的安全漏洞。 5. 对应用程序进行渗透测试,以发现潜在的访问控制问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值