工作中遇到的Fortify和Checkmarkx问题

Java安全实践:Thelper.trick与Fortify,Checkmarx扫描问题解析
原创 已于 2024-09-24 10:30:16 修改 · 5.3k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全性测试

于 2023-01-04 14:29:45 首次发布
文章介绍了在Java开发中,如何处理Fortify和Checkmarx扫描出的安全问题,包括使用Thelper.trick方法绕过安全检查,访问控制数据库参数的处理,防止MassAssignment漏洞,日志伪造的防护,跨站脚本攻击防御,以及对反射、空引用、资源释放和路径操纵的处理策略。

需知:

Thelper.trick(YOUR_PARAM,null)方法:

// Thelper.trick(YOUR_PARAM,null)内部实现:
public static <T> T trick(T obj, Object arg) {
   return obj;
}
// 直接返回第一个参数,这样做是为了跳过部分安全测试

Fortify:

参考:fortify源代码扫描问题分析汇总_安全大哥的博客-CSDN博客

1.Access Control: Database

翻译:访问控制:数据库

所有Mapper调用处的所有方法参数需使用Thelper.trick(YOUR_PARAM,null)包惠。
如: teacherMapper.selectById(id) 更改为: teacherMapper.selectById(Thelper.trick(id,null))

2.Mass Assignment: Insecure Binder Configuration

引发该漏洞一般是Controller中把对象作为参数

解决方案:

在Controller类中添加以下代码:

    @InitBinder()
    public void initBinder(WebDataBinder binder) {
        binder.setDisallowedFields(new String[]{});
    }

// 一般使用:binder.setDisallowedFields("_ID");

其中binder.setDisallowedFields是为了防止绑定敏感属性

参考:绑定敏感字段_松有木兮的博客-CSDN博客_直接绑定敏感字段

3.Log Forging

日志输出时对于系统参数使用 Thelper.trick(YOUR_PARAM,null)包裹

4.Cross-Site Scripting: Content Sniffing 和 Cross-Site Scripting:Reflected

对于参数和输出结果,使用Thelper.trick(YOUR_PARAM,nul)包惠

5.Access Specifier Manipulation

使用ReflectionUtils.makeAccessible(field)替换

如: readMethod.setAccessible(true)更改为ReflectionUtils.makeAccessible(readMethod)

参考:Access Specifier Manipulation解决方案(Spring)

6.null dereference: 添加NULL判断

7.Server-side Request Forgery 和 HTTP Parameter Pollution

template请求参数使用Thelper.trick(YOUR-PARAM,nuLL)包裹

8.UnreLeased Resource:streams

在功能完成后关闭流

try{
   // 代码
} finally {
      if (stream != null) {
        stream.close();
      }
}

9.Path Manipulation

使用Thelper.trick(YOUR_PARAM,nul)包裹路径参数

10.Privacy Violation

对于参数使用Thelper.trick(YOUR_PARAM,nul)包裹

11.Insecure Randomness(不安全随机数)

漏洞出现原因: Random random = new Random();

//需要换成
SecureRandom sr = new SecureRandom()   //即可

或者使用new SecureRandom().nextDouble()替换Math.random()

参考:解决Fortify漏洞:Insecure Randomness(不安全随机数)-CSDN博客

12.Often Misused: File Upload的解决办法

解决办法:创建一个对象,把接收的文件类型对应写入,变量名称要和前端对应

如不直接使用MultipartFile在控制层接收,而是创建一个对象,将MultipartFile multipartfile作为一个属性,通过对象来接收

参考:fortify关于Often Misused: File Upload的解决办法-CSDN博客

Checkmarx:

1.CGI Reflected XSS ALL Clients

将测试代码中的system.out.println删除

2.Unchecked Input for Loop Condition 

在循环如for.while等前验证对象是否为空,不为空才执行循环

3.Excessive Data Exposure 

将代码用到的方法放开,不使用方法,直接使用代码;或将构建的的参数也放开,在用到的地方构建。如:

.params(params) 更改为:
params(DataBaseParams.builder()
.hostId(hostId)
.mysglPwd(password).build())

4.Input Path Not Canonicalized:

使用Filenameutils.normalize对文件路径进行格式化

参考:Java常用类(六):FilenameUtils类_

5.External Control of System or Config setting

Properties params = new Properties();

在使用中,
params.setProperty 改为 params.put

6.Heap Inspection

使用敏感数据后不清除内存,这些敏感数据可能会泄漏。

如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。 通常而言, String 是所用的存储敏感数据,然而,由于 String 对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除 String 的值。 除非 JVM 内存不足,否则系统不要求运行垃圾收集器, 因此垃圾收集器何时运行并无保证。 如果发生应用程序崩溃,则应用程序的内存转储操作可能会导致敏感数据泄漏。

可以修改参数名称,不使用敏感数名称作为参数名称。如 password 参数修改为 passwd

也可以使用char[]数组储存(不建议,不方便)或手动清除

参考:Fortify Audit Workbench 笔记 Privacy Violation: Heap Inspection 隐私泄露(堆检查)

Fortify代码扫描:Privacy Violation:Heap Inspection漏洞解决方案_7

7.Hardcoded password in Connection string

注释或删除测试代码,不使用硬编码设置参数

8.XSRE

该问题在控制层的参数中出现,定位出现在Mybatis的xml文件的</select>这样的标签中。

说是从用户请求中获取参数。然后,此元素的值将流经代码,并最终用于访问可以更改的应用程序状态的功能。这可能导致跨站点请求伪造(XSRF)

最终问题没有解决,删除Mybatis中的xml代码过安全。。。

解决高风险代码:Mass Assignment: Insecure Binder Configuration
qq_45752401的博客
12-13 4789
用于 JSON XML 处理的库,可以采用不同的方法控制绑定过程。示例 7: 使用 Jackson 库从 JSON 文档绑定的模型可以通过不同的注释控制绑定过程,例如 @JsonIgnore。在使用 @ModelAttribute 注释参数的 Spring MVC 应用程序中,可以配置绑定器以控制应绑定的属。的一些示例: 示例 6: 使用 Oracle 的 JAXB 库从 XML 文档绑定的模型可以通过不同的注释控制绑定过程,如果某个属性不应绑定到请求,则应将其 setter 设置为私有。
Fortify Access Control: Database
workhd的专栏
08-31 7884
项目经过扫描扫出来36个数据越权的高危漏洞,看了看这些问题报告中给的修改建议 Access Control: Database (36 issues) Abstract 如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授 权的记录。 Explanation Database access control 错误在以下情况下发生: 1. 数据从一个不可信赖的数据源进入程序。 2. 这个数据 用来指定 SQL 查询中主键的值。 示例 1: 以下
Fortify漏洞之Dynamic Code Evaluation: Code Injection(动态脚本注入) Password Management: Hardcoded Password(密...
arkqyo2595的博客
05-14 2013
  继续对Fortify的漏洞进行总结,本篇主要针对 Dynamic Code Evaluation: Code Injection(动态脚本注入)Password Management: Hardcoded Password(密码硬编码)的漏洞进行总结,如下: 1.1、产生原因:   许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。...
揭秘主流静态分析工具对比:SonarQube、Checkmarx、Fortify谁更胜一筹?
最新发布
LiteCode的博客
10-29 1042
掌握代码安全审计工具与流程,精准识别应用漏洞。对比SonarQube、Checkmarx、Fortify在开发集成、漏洞检测精度与合规支持上的优劣,解析静态分析核心方法与适用场景。主流工具选型指南,值得收藏。
开发安全之:Access Control: Database
irizhao的专栏
01-17 1866
为了突出显示未经验证的输入源,Fortify 安全编码规则包会对 Fortify Static Code Analyzer(Fortify 静态代码分析器)报告的问题动态重新调整优先级,即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。任何情况下都不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录。如果没有适当的 access control,mysql_query执行一个 SQL 指令时,如果该指令包含一个受攻击者控制的主键,从而允许攻击者访问未经授权的记录。
CheckMarx安装
weixin_56185549的博客
04-28 5561
扫描完成后,点击 “仪表盘”——>“项目状态”,可以找到刚才新建的项目,点击这个放大镜可以查看漏洞的整体分布情况。
Checkmarx代码审计/代码检测工具的使用教程,零基础也能学会!!
xiangxue666的博客
08-31 3855
Checkmarx代码审计/代码检测工具的使用教程,零基础也能学会!!
代码审查工具fortify安全问题解决方法
06-02
Fortify是一款代码审查工具,旨在帮助开发者检测修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,并Provide详细的解决方案。 SQL Injection SQL Injection是最常见的安全问题...
fortify扫描问题总结
04-07
在进行Fortify扫描时,可能会遇到各种问题,以下是对这些常见问题的总结解决策略。 1. **扫描范围不准确**:Fortify可能无法正确识别项目源代码的范围,导致扫描不全或包含不必要的文件。这需要确保在配置Fortify...
Fortify SCA 2018.1.1.003 中文规则库
07-25
Fortify SCA 2018.1.1.003 中文规则库 Fortify SCA 代码规则库-支持Java、C、C++、C#、PHP、Swift等静态代码扫描 ,符合代码安全的编码参考 Fortify SCA 。
安全测试工具fortify使用指南
03-11
Fortify是Micro Focus旗下的应用程序安全测试(Application Security Testing, AST)产品之一,它涵盖了多种安全测试技术工具,旨在帮助开发者安全专家发现并修复应用程序中的安全漏洞。Fortify的产品线包括: ...
Fortify:旨在使Fortify报告对客户更具可读性
05-01
由于客户看不到Fortify FPR报告,因此导出的PDF报告可能太复杂而使客户迷路。 开发fpr2xlsx.py的目的是帮助客户更好地了解Fortify报告。 脚本需要安装Python xlsxwriter库。 只需一个参数(--input或-i)来选择fpr...
Fortify代码扫描:Mass Assignment:Insecure Binder Configuration漏洞解决方案
初阶农民工的博客
12-31 1万+
引发该漏洞一般是Controller中把对象作为参数 解决方案: 在Controller类中添加以下代码: @InitBinder() public void initBinder(WebDataBinder binder) { binder.setDisallowedFields(new String[]{}); } 参考: https://s...
关于Fortify 代码安全扫描常见问题
热门推荐
qq_33200504的博客
11-17 2万+
#Mass Assigment:Insecure Binder Configuration 问题说明: 不安全的参数绑定配置,是指我们的controller中xxxMethod(User user) 未明确指定接口所需属性,而是把整个对象所有属性暴露出去。 解决方案: 接口中入参对象未明确指定接口所需属性,而是把整个对象所有属性暴露出去。接口入参如果是某个具体对象需要使用@RequestBody标签,不需要的属性可用@JsonIgnore注解,前端接口调用时需使用标准json格式传递参数。方案参考:http
Access Control: Database(数据库访问控制)2020最新相关解析及完整解决方案
qq891714047的博客
08-28 1万+
知识库:Access Control: Database(数据库访问控制) 规则描述 数据库访问控制是指程序未进行恰当的访问控制,执行了一个包含用户控制主键的SQL语句,由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致修改相关参数就可以拥有了其他账户的增、删、查、改功能。如果在一个应用中,用户能够访问他本身无权访问的功能或者资源,就说明该应用存在访问控制缺陷,也就存在越权漏洞。详见CWE ID566: Authorization Bypass Through User-C
Fortify屏蔽漏洞Access Control: Database
weixin_43063748的博客
06-23 1万+
项目使用了Mybatis该如何屏蔽Access Control Database漏洞
解决高风险代码:Access Control: Database
qq_45752401的博客
12-12 5407
如果没有适当的 access control,就会执行一个包含用户控制主键的 SQL 指令,从而允许攻击者访问未经授权的记录。通俗来讲,参数不能直接对其进行使用,得进行合法后进行使用或者不能直接对数据进行访问,需要满足某种情况下才可以。句, 以构建执行用于搜索与指定标识符 [1] 相匹配的清单的 SQL 查询。则, 这可以通过把当前被授权的用户名作为查询语句的一部分来实现。所请求清单的权限,因此它会显示任何清单,即使此清单不属于当前用户。许用户在没有取得相应权限的情况下获取或修改数据库中的记录。
checkmarx : Input path not canocalized 问题解决方法
大海牛的专栏
01-06 2617
https://www.gyanblog.com/tutorials/resolving-checkmarx-issues-reported/ https://wiki.sei.cmu.edu/confluence/display/java/FIO16-J.+Canonicalize+path+names+before+validating+them
fortify如何只导出criticalhigh问题
07-30
Fortify 中,可以通过调整过滤器设置来实现仅导出严重级别为 **Critical** **High** 的问题Fortify 提供了强大的过滤报告生成功能,允许用户根据漏洞的严重性、类别、状态等条件进行筛选。 在 Fortify 的 **Audit Workbench (AWB)** 或 **Reporting** 模块中,可以使用内置的过滤器或自定义过滤器来筛选出特定严重级别的漏洞。以下是具体操作步骤: 1. 打开 Audit Workbench 并加载需要分析的项目。 2. 在左侧的“Issue List”中,点击“Filter Issues”按钮,打开过滤器对话框。 3. 在过滤器设置中,找到“Filter by”选项,选择“Severity”字段。 4. 在“Severity”条件中,勾选“Critical”“High”两个选项。 5. 点击“Apply”应用过滤器,此时仅显示严重级别为 Critical High 的漏洞。 6. 若需要导出这些漏洞,可右键点击问题列表,选择“Export Issues”,并选择合适的导出格式(如 PDF、Excel、FPR 等)。 此外,在命令行中使用 `ReportGenerator` 工具时,也可以通过指定过滤器文件(.flt)来控制输出内容。例如,可以创建一个名为 `critical_high.flt` 的过滤器文件,内容如下: ```xml <?xml version="1.0" encoding="UTF-8"?> <Filter version="2.0"> <Rule type="Include"> <Term> <Field>Severity</Field> <Operator>Equals</Operator> <Value>Critical</Value> </Term> </Rule> <Rule type="Include"> <Term> <Field>Severity</Field> <Operator>Equals</Operator> <Value>High</Value> </Term> </Rule> </Filter> ``` 然后使用如下命令生成报告: ```bash ReportGenerator -format pdf -source project.fpr -output report_critical_high.pdf -filter critical_high.flt ``` 通过上述方式,可以在 Fortify 中灵活地仅导出严重级别为 Critical High 的漏洞问题,便于进一步分析修复[^1]。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值