如何使用FindBugs进行安全扫描

如何使用FindBugs进行安全扫描

前言

随着移动互联网的飞速发展，移动端产品满天飞，深入各行各业，移动端安全已经变得跟PC端安全同等重要地位。但由于移动端自身特性，移动端操作系统以及应用程序的安全性做的还不是很成熟。因此，我们在开发移动端App的时候，要尽量多地避免安全漏洞问题。本文主要是从预防的角度出发，介绍一个静态代码扫描工具，在编译阶段来提前发现代码的安全漏洞。

FindSecurityBugs简介

FindSecurityBugs是Java静态分析工具FindBugs的插件，通过一系列的规则发现代码中的Java安全漏洞。这个工具可以集成在很多IDE中，包括Eclipse或IntelliJ。目前这个项目已经在安全社区中获得了不少关注度。该工具的最新版本还增加了专门针对Android端产品的漏洞类型。因此，它也是一个不错的移动端安全扫描工具。如果你想更详细的了解它，可以去访问FindeSecurityBugs的Github社区。

FindSecurityBugs用法

由于FindSecurityBugs是FindBugs的一个插件，因此我们使用它的时候先要下载FindBugs工具。你可以去FindBugs的官方网站获取最新的安装包，这里就不介绍安装过程了。

一、命令行方式

示例：

./findbugs -textui -low -html -output myreport.html  
/Users/darylzhang/Downloads/findbugs-3.0.1/test/

下面是常见参数说明
-home 定义findbugs2软件存放位置
-low 提交警告及任何级别以上报告
-medium 提交中，高级报告（默认）
-high 只提交高级警告
-xml 警告以 xml输出
-html 警告以 html输出
-output 定义输出的文件名
-onlyAnalyze 只分析指定的 class/package
-exclude 忽略指定的 class/package (必修以 xml定义过滤的命名)
-include 只输出指定的 class/package (必修以xml定义过滤的命名)

二、集成到Eclipse插件

1. 系统要求

首先要在电脑上安装Eclipse 3.3以上的版本，且安装JRE/JDK 1.5以上版本。

2. 安装FindBugs插件

1）通过Eclipse的站点更新功能可以将FindBugs自动下载并安装到Eclipse插件。

图1
2）目前提供三个FindBugs的下载地址：
http://findbugs.cs.umd.edu/eclipse/ ：这个地址只提供官方Release版本
http://findbugs.cs.umd.edu/eclipse-candidate/ ：提供最新的预发布版本
http://findbugs.cs.umd.edu/eclipse-daily/ ：提供最新的每日构建版本
3）你也可以直接通过以下地址下载：http://prdownloads.sourceforge.net/findbugs/edu.umd.cs.findbugs.plugin.eclipse_3.0.1.20150306.zip?download ，然后解压到Eclipse的插件目录
4）下载FindSecurityBugs扩展包
下载地址：http://h3xstream.github.io/find-sec-bugs/download.htm
5）安装FindSecurityBugs扩展包
打开Eclipse偏好设置
进入Java->FindBugs选项
找到插件选项卡，导入扩展包

图2

3. 报告配置

进入报告配置页面设置要扫描的Bug级别，比如我们这里只关注安全类型的bug的话，就只勾选Security选项。并设置报告级别为low，这样就可以尽可能多的报告所有问题。

图3

4. 开始扫描

右键点击要扫描的工程，找到Finde Bugs菜单项，选择Find Bugs开始扫描。如下图所示。

图4
6.查看报告
扫描完成后，我们可以进入Bug Explorer查看结果报告，当然如果没看到这个窗口，我们可以在Window—>Show view—>others里面调出来。

图5

FindSecurityBugs能扫描的问题

这里简单介绍几种FindSecurityBugs能扫描出来的Android漏洞类型。

1. 外部文件读写权限漏洞

应用程序具有写入外部存储（一般是SD卡）的权限。开通了这个权限会导致多个安全隐患。比如，应用程序可以通过READ_EXTERNAL_STORAGE权限来获取存储在本地SD卡的文件，如果这些数据包含用户敏感信息，而且没有加密的话，那将会造成用户隐私的泄密。
存在风险的代码片段：

file file = new File(getExternalFilesDir(TARGET_TYPE), filename);
fos = new FileOutputStream(file);
fos.write(confidentialData.getBytes());
fos.flush();

修复建议：

fos = openFileOutput(filename, Context.MODE_PRIVATE);
fos.write(string.getBytes());

2. 广播

Broadcast intents可以被任何拥有相关权限的应用程序截获，从而获得敏感信息。
存在风险的代码片段：

Intent i = new Intent();
i.setAction("com.insecure.action.UserConnected");
i.putExtra("username", user);
i.putExtra("email", email);
i.putExtra("session", newSessionId);
this.sendBroadcast(v1);

修复建议：

Intent i = new Intent();
i.setAction("com.secure.action.UserConnected");

sendBroadcast(v1);

3. 写文件权限

我们通过写权限MODE_WORLD_READABLE来写文件的时候，有可能会把文件的内容暴露出来，如下代码片段：

fos = openFileOutput(filename, MODE_WORLD_READABLE);
fos.write(userInfo.getBytes());

解决方案：

fos = openFileOutput(filename, MODE_PRIVATE);

4. Webview的Javascript执行权限

开通Webview的Javascript执行权限意味着为XSS开通了后门，页面的渲染有可能会被反射XSS，存储XSS和DOM XSS所劫持。如下代码片段开通了Javascript权限：

WebView myWebView = (WebView) findViewById(R.id.webView);
WebSettings webSettings = myWebView.getSettings();
webSettings.setJavaScriptEnabled(true);

这样，恶意代码可以通过如下的方式攻击你：

function updateDescription(newDescription) {
    $("#userDescription").html("<p>"+newDescription+"</p>");
}

5. Webview暴露Javascript接口

在Android代码中使用JavaScript接口，将会暴露本地的API。只要加一个XSS触发器，JavaScript代码就可以调用你的Java类。如下代码片段：

WebView myWebView = (WebView) findViewById(R.id.webView);

myWebView.addJavascriptInterface(new FileWriteUtil(this), "fileWriteUtil");

WebSettings webSettings = myWebView.getSettings();
webSettings.setJavaScriptEnabled(true);

[...]
class FileWriteUtil {
    Context mContext;

    FileOpenUtil(Context c) {
        mContext = c;
    }

    public void writeToFile(String data, String filename, String tag) {
        [...]
    }
}

总结

代码扫描只是一种手段，毕竟规则有限，我们不能过分依赖。正在的移动安全还是需要我们的移动开发者增强安全意识，提高自己的代码防范能力，从而从代码源头避免安全漏洞。作为测试人员，也应该积极了解移动安全的常见漏洞，这样可以及早发现App的安全风险，保证产品的安全。