Fortify軟件安全研究(SSR)很高興宣布Fortify安全編碼規則包(英語,版本2021.1.0),Fortify WebInspect SecureBase(可通過(guò)SmartUpdate獲得)和Fortify Premium Content的更新立即可用。
Micro Focus Fortify安全編碼規則包[SCA]
在此版本中,Fortify安全編碼規則包檢測27種(zhǒng)編程語言中的816個獨特類别的漏洞,并覆蓋了超過(guò)一百萬個單獨的API。總而言之,此版本包括以下内容:
Micro Focus Visual COBOL支持(版本6)[1]
此版本增加了對(duì)Micro Focus Visual COBOL版本6的支持。特别是,該版本包括對(duì)Micro Focus COBOL運行時(shí)系統(RTS)的支持,并擴展了對(duì)已經(jīng)由COBOL支持的路徑操縱類别和以下其他類别的支持:
- Command Injection
- Memory Leak
- Memory Leak: Reallocation
- Unreleased Resource
- Unreleased Resource: Synchronization
Android 11
爲了支持最新版本的Android(API版本30),我們正在進(jìn)行以下工作,其中包括以下名稱空間:
-android.accounts
-android.app
-android.database
-android.database.sqlite
用戶應該期望看到可以總體上改善結果的Android應用程序的更好(hǎo)建模,以及其他SQL注入和訪問控制:數據庫發(fā)現。
iOS更新
作爲改善iOS支持的不懈努力的一部分,爲以下類别添加了新的Swift規則:
-Foundation.NSCache
-Foundation.URLFileProtection
用戶應該期望看到與數據保護和隐私違規有關的改進(jìn)結果,以及對(duì)其他漏洞類型和框架的總體改進(jìn)(請參閱“其他勘誤-iOS錯誤修複”)。
Angular支持更新(版本11.2.3)
此版本使我們的Angular支持達到11.2.3。特别是,确定了來自浏覽器的用戶控制信息的新來源,這(zhè)可能(néng)導緻許多類别觸發(fā)它們以前未曾觸發(fā)過(guò)的地方。
Apache Commons更新
Apache Commons提供了可重用的Java組件。在此版本中,SSR更新了對(duì)以下組件的支持:
- beanutils (1.9.4)
- collections4 (4.4)
- dbutils (1.7)
- fileupload (1.4)
- lang (3.11)
- math (3.6.1)
- io (2.8.0)
- text (1.9)
這(zhè)些更新改進(jìn)了使用這(zhè)些組件的應用程序的建模,确定了針對(duì)諸如日志僞造和JSON注入等類别的保護措施,并确定了可能(néng)出現以下漏洞類型的新位置:
- Access Control: Database
- Denial of Service
- Insecure Randomness: User-Controlled Seed
- Path Manipulation
- Privacy Violation
- Setting Manipulation
- SQL Injection
- System Information Leak (variants)
Python(3.9版)
更新了對(duì)最新版本Python的支持,從而改善了核心語言API的建模。
各種(zhǒng)勘誤
在此版本中,我們繼續投入資源以确保我們可以減少誤報問題的數量,并提高客戶審計問題的能(néng)力。客戶還(hái)可以期望看到與以下内容相關的已報告問題的變化:
誤報性改進(jìn):
我們將(jiāng)繼續傾聽客戶的意見,并努力提高誤報率。在此版本中,我們緻力于以下工作,以減少誤報的次數:
-代碼正确性:Java和Kotlin應用程序中的錯誤類比較
-動态代碼評估:Python 3掃描中消除了代碼注入問題
-改進(jìn)了關鍵管理問題,以消除所有語言的誤報
-跨站腳本:從一個輸入框來當自:與jQuery的DOM問題現在被正确地歸類爲跨站點腳本。
-匹配可能(néng)不是密碼的内容時(shí),配置文件中的密碼管理問題已消除
-與本地化數據匹配時(shí),密碼管理誤報得到了改善。
-删除了有關Java Spring應用程序中不相關功能(néng)的XML外部實體注入的發(fā)現。
-ASP.NET MVC不良做法:控制器(不限于POST)現在允許其他動詞視爲安全(PATCH,DELETE,PUT)
iOS錯誤修複:
由于分析的改進(jìn),規則更新是必要的。這(zhè)可能(néng)會(huì)導緻用戶看到以下弱點類型的改進(jìn):
- Input Interception: Keyboard Extensions Allowed
- Privacy Violation: HTTP Get
- Privacy Violation: Keyboard Caching
- Privacy Violation: Screen Caching
- Privacy Violation: Shoulder Surfing
幾個框架也進(jìn)行了較小的更新,以提高準确性:Foundation,UIKit,WebKit,HealthKit,WatchKit,MessageUI,CoreLocation,CoreData。
删除的類别:
爲了增強結果的相關性,在此版本中已删除以下類别:
- Privilege Management: Android Network
Micro Focus Fortify SecureBase [Fortify WebInspect]
Fortify SecureBase將(jiāng)針對(duì)數千個漏洞的檢查與策略結合在一起(qǐ),這(zhè)些策略可指導用戶立即通過(guò)SmartUpdate獲得以下更新:
漏洞支持
OGNL Expression Injection: Struts 2
CVE-2019-0231和CVE-2020-17530識别出的關鍵OGNL表達語言注入漏洞影響了Struts版本2.0到2.5.25。利用這(zhè)些漏洞可能(néng)導緻服務器上執行任意遠程代碼。此版本包括檢查以檢測使用Struts 2的Web應用程序中的這(zhè)些漏洞。
WAF Detection[2]
此版本包括檢查“ WAF檢測”,當在掃描過(guò)程中檢測到Web應用程序防火牆時(shí),該标記會(huì)标記參考信息。這(zhè)些發(fā)現表明,由于掃描請求在到達應用程序之前被阻止,因此掃描質量可能(néng)會(huì)受到影響。
Hacker Level Insights[2]
黑客級别的見解爲開(kāi)發(fā)人員和安全專業人員提供了與應用程序整體安全狀況有關的上下文。此版本包括檢查标記在掃描過(guò)程中在應用程序中檢測到的庫的檢查。盡管這(zhè)些發(fā)現不一定代表安全漏洞,但必須注意,攻擊者通常會(huì)對(duì)這(zhè)些類型的目标執行偵察,以試圖發(fā)現已知的弱點或模式。
政策更新
NIST SP 800-53 Rev. 5
自定義的策略包括與NIST SP 800-53修訂版5相關的檢查,已添加到受支持策略的WebInspect SecureBase列表中。
CWE Top 25 2020
自定義的策略包括與CWE Top 25 2020相關的檢查已添加到受支持策略的WebInspect SecureBase列表中。
DISA STIG 5.1
已將(jiāng)自定義爲包括與DISA STIG 5.1相關的檢查的策略添加到了受支持策略的WebInspect SecureBase列表中。
各種(zhǒng)勘誤
在此版本中,我們繼續投入資源以确保我們可以減少誤報問題的數量,并提高客戶審計問題的能(néng)力。客戶還(hái)可以期望看到與以下内容相關的已報告問題的變化:
Web Cache Poisoning
此版本包括對(duì)Web Cache Poisoning的更新檢查:未加密的标頭。用戶現在可以添加他們懷疑是高速緩存鍵一部分的自定義标頭。
Unsafe SpringBoot Actuators
此發(fā)行版包含更新的檢查以檢測敏感的Spring Boot Actuator(适用于非特權用戶),從而提供更準确的結果。
XSS Improvements
此版本包括針對(duì)Vue 3和Angular JS 1.5.9及更高版本的XSS攻擊檢查的改進(jìn)。
[1] Requires SCA 21.1 or later.
[2] Requires WebInspect 21.1 or later.
關于蘇州華克斯信息科技有限公司
聯系方式:400-028-4008
0512-62382981
專業的測試及安全産品服務提供商
Fortify | Webinspect | AppScan | SonarQube
LoadRunner | UFT(QTP) | ALM(QC)
Micro Focus (原HPE)鉑金合作夥伴
SonarQube中國(guó)總代理
HCL中國(guó)合作夥伴
極狐GiLab中國(guó)鉑金合作夥伴
掃二維碼用手機看
更多資訊