关于Fortify 代码安全扫描常见问题

最新推荐文章于 2024-06-07 10:26:03 发布
最新推荐文章于 2024-06-07 10:26:03 发布
阅读量2.8w 收藏 14
点赞数 3
分类专栏: javaWeb应用安全问题 文章标签: Fortify Insecure Binder Conf Log Forging
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33200504/article/details/78560782
版权

#Often MisusedFile Upload

问题说明:

jsptype=file的输入框需要进行文件安全性校验

解决方案:

jsp页面中没有很好的检验方式,所以检验在后台校验,采用文件后缀名+文件头信息来判断文件类型。文件头信息验证可参考:http://blog.csdn.net/honwellhsueh/article/details/12913591


#Unreleased  ResourceSockets

问题说明:

没有正确释放资源

解决方案:

涉及到Connection 相关操作,使用完毕后要正确释放资源。


#Mass AssigmentInsecure Binder Configuration

问题说明:

不安全的参数绑定配置,是指我们的controller中xxxMethod(User user) 未明确指定接口所需属性,而是把整个对象所有属性暴露出去。

解决方案:

接口中入参对象未明确指定接口所需属性,而是把整个对象所有属性暴露出去。接口入参如果是某个具体对象需要使用@RequestBody标签,不需要的属性可用@JsonIgnore注解,前端接口调用时需使用标准json格式传递参数。方案参考:https://stackoverflow.com/questions/46840174/what-is-the-solution-for-mass-assignment-insecure-binder-configuration-vulnerab



#Insecure Randomness

问题说明:

不安全的随机数,一般出现在js中使用到Math.random()

解决方案:

如果基于插件封装的js不利于修改,要么更换插件,要么看下有没有更高版本的进行,实在不行只能找相关安全测试工程师是否可以不修改。-0 0


#Log Forging

问题说明:

伪造日志,指我们在用httpclient 或者restTemplate调用第三方接口时,习惯性的把response的信息直接就log.info(response.getXXX) ,可能会发生返回信息中会存在字符串“twenty-one%0a%0aINFO:+User+logged+out%3dbadguy”,则日志中
就会记录以下条目:
INFO:Failed to parse val=twenty-one
INFO:User logged out=badguy

解决方案:

对于接口回调函数返回信息需要记录到日志中时,先进行信息的解码,发生错误时自定义错误提示信息.具体参考:http://blog.csdn.net/acmman/article/details/62446022








Lance,yl
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
Unreleased Resource(资源未释放)
weixin_30710457的博客
10-13 1379
Unreleased Resource(资源未释放) 改问题好理解和解决。 当我们连接数据库, 操作文件等, 最后都进行关闭连接等操作 可以选择用using 代码块, 或者, 调用Close 或者Dispose 方法 using (var filestream = new FileStream(@"D:\test.txt", FileMode.Open)) { ...
Fortify代码扫描 Java提供解决方案支撑
weixin_45336602的博客
07-09 2323
Fortify代码扫描 Access Control: Database Mass Assignment: Insecure Binder Configuration Often Misused: File Upload Header Manipulation Server-Side Request Forgery
开发安全之:Often Misused: File Upload
irizhao的专栏
01-19 800
如果允许攻击者向某个可通过 Web 访问的目录上传文件,并能够将这些文件传递给代码解释器(如 JSP/ASPX/PHP),他们就能促使这些文件中包含的恶意代码在服务器上执行。如果程序容易出现 path manipulation、command injection 或危险的 file inclusion 漏洞,那么攻击者就可能上传带恶意内容的文件,并利用另一种漏洞促使程序读取或执行该文件。如果程序必须允许文件上传,则应当只接受程序需要的特定类型的内容,从而阻止攻击者提供恶意内容。
Insecure Binder Configuration漏洞解决
最新发布
weixin_41912225的博客
06-07 221
最近公司要求上传的代码进行扫描,一扫描吓一跳。原本在controller中post传对象的接口都被扫描Insecure Binder Configuration漏洞。漏洞原因是Fortify不建议在post请求中传递实体。相信大部分同学post接口都是这样写的。
fortify扫描问题总结
04-07
fortify扫描问题总结,系统安全
Fortify漏洞之 Path Manipulation 路径篡改问题解决笔记
热门推荐
dazhong2012的专栏
03-15 4万+
在文件上传中,代码扫描会产生 路径篡改(Path Manipulation)的缺陷,今天总结一下该问题的产生原因及解决方法。 一.问题描述 在使用 Fortify 扫描项目时,产生如下缺陷,该问题是说 使用如下代码: request.getParameter(“bizId”) 直接作为上传文件名称组成字段时会产生 路径篡改 FileRelation relation = fileRelation...
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
下面,我们将介绍 Fortify 代码审计中常见的扫描漏洞原理与修复意见。 1. 系统信息泄露(System Information Leak) 系统信息泄露是一种常见的漏洞,它发生在代码中泄露了系统敏感信息,例如操作系统版本、数据库...
代码安全测试fortify规则库2020.01
03-03
这种测试方式是在不执行程序的情况下,通过对源代码的深度分析来查找潜在的安全问题。Fortify规则库是其核心组成部分,包含了数百个预定义的规则,涵盖了各种编程语言和安全威胁。 2020.01版的Fortify规则库对之前...
fortify规则库: 2019.4.0.0009 fortify规则库: 2020.1.0.0009
10-27
Fortify安全编码规则包,包中含有2019年和2020年的,版本号可以自己看。 包括Fortify静态代码分析器(SCA),Fortify WebInspect和Fortify Application Defender)的安全情报。如今,MicroFocus Fortify软件安全性内容支持26种编程语言中的1,019个漏洞类别,涵盖了超过一百万个单独的API
文件上传漏洞
yusakul的博客
11-13 265
文件上传流程 前端校验 -> http协议传输 -> Web应用程序校验 -> Web应用程序存储 -> Web应用程序解析执行 文件上传漏洞 - 绕过js校验上传 Web应用系统虽然对用户上传的文件进行了校验,但是校验是通过前端javascript代码完成的。由于恶意用户可以对前端javasrcipt进行修改或者是通过抓包软件篡改上传的文件,就会导致基于js的校验很...
文件上传漏洞总结
m0_73728268的博客
02-18 177
文件上传题目总结
Fortify 代码扫描安装使用教程
回忆式~过去.的博客
05-17 2万+
Fortify安装使用简易教程 双击安装应用程序 点击Next进行下一步 接受协议,点击Next 选择安装位置或者默认位置,点击Next 勾选你要安装的插件,点击Next下一步 选择\fortify.license,点击下一步 选择更新服务器,这里可以不用填写 移除之前版本选择NO 安装实例代码项目选择No 准备安装,点击Next即可进行安装 安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下 应用程序搜索Scan Wizard,双击Audit Work
使用模型::create()出现MassAssignmentException in Model.php的问题
fishermanmax的博客
08-27 1336
注意定义的$fillable集合是否与create里面的集合字段一致!!
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4264
一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值