Fortify Software Security Research (SSR) 很高興地宣布立即提供 Fortify Secure Coding Rulepacks（英語，版本 2021.3.0）、Fortify WebInspect SecureBase（通過(guò) SmartUpdate 提供）和 Fortify Premium Content 的更新。

CyberRes Fortify 安全編碼規則包 [SCA]

在此版本中，Fortify 安全編碼規則包可檢測 27 種(zhǒng)編程語言中的 831 種(zhǒng)獨特的漏洞類别，涵蓋超過(guò) 100 萬個單獨的 API。總之，此版本包括以下内容：

Golang 标準庫更新（版本：1.16）

擴展了對(duì) Go 标準庫的支持。Go 是一種(zhǒng)由 Google 設計的靜态類型開(kāi)源語言，旨在使構建簡單、可靠和高效的軟件變得容易。Go 在語法上與 C 相似，但具有内存安全機制、垃圾收集和結構類型。此更新涵蓋标準庫命名空間，添加了對(duì)以下新類别的支持：

• Cookie 安全性：缺少 SameSite 屬性

• Cookie 安全性：過(guò)于寬松的 SameSite 屬性

• 錯誤做法：剩餘的調試代碼

• 不安全的随機性：硬編碼種(zhǒng)子

• 不安全的随機性：用戶控制的種(zhǒng)子

• 不安全傳輸：密碼套件降級

• 不安全的傳輸：弱 SSL 協議

• 經(jīng)常被誤用：權限管理

• 弱加密簽名

Android 11 更新（API 級别：30）

Android 平台是專爲移動設備設計的開(kāi)源軟件堆棧。Android 的一個主要組件是 Java API 框架，它向(xiàng)應用程序開(kāi)發(fā)人員公開(kāi) Android 功能(néng)。此版本擴展了在利用 Android 的 Java API 框架的 Java 或 Kotlin 編寫的原生 Android 應用程序中的漏洞檢測。用戶應該期望從 Android 應用程序建模和 API 覆蓋率的更新中獲得改進(jìn)的結果。此版本還(hái)包括以下新的權限管理弱點類别，爲危險的 Android 權限提供指導：

• 權限管理：Android Activity 識别

• 權限管理：Android 日曆

• 權限管理：Android 通話記錄

• 權限管理：安卓相機

• 權限管理：Android 通訊錄

• 權限管理：安卓麥克風

• 權限管理：Android 傳感器

iOS 标準庫更新（版本：iOS 14）

此版本更新了我們對(duì) Swift 和 Objective-C 的 iOS 14 庫 API 的支持。更新集中在以下框架上：

• 用戶界面(miàn)工具包

• 用戶通知

• 用戶界面(miàn)

• 消息界面(miàn)

用戶應該會(huì)看到不安全 IPC、鏈接注入、路徑操縱、隐私侵犯、肩部沖浪和系統信息洩漏類别的改進(jìn)。

Micro Focus Visual COBOL 更新（版本：7.0）

擴展了對(duì) Micro Focus Visual COBOL 版本 7 的支持，以添加對(duì)以下兩(liǎng)個弱點類别的支持：

• 整數溢出

• 競争條件：文件系統訪問

SAPUI5/OpenUI5 支持[1]  (Version: 1.93)

SAPUI5 是一個客戶端 JavaScript 框架，由 SAP 創建，它與開(kāi)源的 OpenUI5 共享一組核心控件庫。此版本爲識别以下類别的漏洞提供初步支持：

• 跨站腳本：DOM

• 跨站腳本：SAPUI5 控制

• 跨站腳本：自我

• 隐私侵犯

• SAPUI5 錯誤配置：未經(jīng)消毒的編輯器

• 系統信息洩漏：外部

 JSON 支持[2]

JavaScript Object Notation (JSON) 是一種(zhǒng)輕量級的數據交換格式。此版本爲識别以下類别的 JSON 漏洞提供了改進(jìn)的支持：

• 密碼管理：空密碼

• 密碼管理：硬編碼密碼

• 密碼管理：空密碼

• 密碼管理：評論中的密碼[3]

Kotlin 标準庫更新（版本：1.4.30）

Kotlin 是一種(zhǒng)通用的靜态類型語言，具有 Java 互操作性。此版本包括對(duì) Kotlin 1.4 中針對(duì) Java 虛拟機 (JVM) 引入的新标準庫 API 的更新支持。

ECMAScript 2021（版本：ECMA-262）

支持 ECMAScript 2021 中引入的新 API。ECMAScript 是一種(zhǒng)通用編程語言，由 ECMAScript 語言規範定義，以集成(chéng)到所有現代 Web 浏覽器而聞名。但是，它越來越普遍地用于構建 Web 服務器、移動應用程序和其他類型的傳統應用程序。在掃描針對(duì)最新 ECMAScript 标準的應用程序時(shí)，客戶應該期待改進(jìn)的數據流。

2021 年常見弱點枚舉 (CWE TM ) 前 25 名

Common Weakness Enumeration (CWE TM ) Top 25 Most Dangerous Software Weaknesses (CWE Top 25) 于 2019 年推出，取代了 SANS Top 25。7 月發(fā)布，2021 CWE Top 25 是使用啓發(fā)式公式确定的，該公式將(jiāng)頻率和嚴重性标準化過(guò)去兩(liǎng)年向(xiàng)國(guó)家漏洞數據庫 (NVD) 報告的漏洞數量。爲了支持希望圍繞 NVD 中最常報告的關鍵漏洞優先審核的客戶，添加了 CyberRes Fortify 分類法與 2021 CWE 前 25 名的相關性。

雜項勘誤

在此版本中，我們繼續投入資源以确保我們可以減少誤報問題的數量并提高客戶審核問題的能(néng)力。客戶還(hái)可以看到與以下相關的報告問題的變化：

棄用 18.x 之前的 SCA 版本：

正如在 2020.4 版本中所觀察到的那樣，我們將(jiāng)繼續支持 SCA 的最後(hòu)四個主要版本。因此，這(zhè)將(jiāng)是支持 18.x 之前的 SCA 版本的規則包的最後(hòu)一個版本。對(duì)于下一個版本，18.x 之前的 SCA 版本將(jiāng)不會(huì)加載最新的規則包。這(zhè)將(jiāng)需要降級規則包或升級 SCA 的版本。

對(duì)于未來的版本，我們將(jiāng)繼續支持 SCA 的最後(hòu)四個主要版本。

Java J2EE 改進(jìn)：

改進(jìn)了對(duì)隐私違規和系統信息洩漏類别中的 javax.servlet API 的支持。    

Android綁定服務：

憑借我們對(duì) Android 的持續支持，此版本涵蓋了 Android 綁定服務。客戶可能(néng)會(huì)遇到源自 Android 綁定服務方法參數的新數據流問題。當在綁定服務中調用方法時(shí)，這(zhè)可能(néng)會(huì)引入重複的數據流子跟蹤。

Node.js 中的弱加密哈希：

确定 Node.js 應用程序中弱加密哈希的使用。

OWASP ASVS 4.0 映射現在包含對(duì)級别的支持

爲了支持希望能(néng)夠查詢違反特定 OWASP 應用程序安全驗證标準 (ASVS) 應用程序安全驗證級别（L1、L2 和 L3）的報告問題的客戶，最新的安全内容已將(jiāng)這(zhè)些級别添加到映射名稱中。客戶現在可以在OWASP ASVS 4.0分組中搜索相關的L1、L2和L3關鍵字，以及設計相關的過(guò)濾器集和過(guò)濾器模闆，以便在 AuditWorkbench 和軟件安全中心 (SSC) 中使用。      

誤報改進(jìn)：

此版本中繼續消除誤報的工作。除了其他改進(jìn)之外，客戶還(hái)可以期待在以下領域進(jìn)一步消除誤報：

•  jQuery 代碼中的跨站點腳本誤報

• 隐私侵犯： 使用 JsonIgnore 屬性的 .NET 應用程序中的肩部沖浪

• 在隻能(néng)控制一個數字的路徑操縱問題上降低 Fortify Priority Order 的一緻性更高  

• 當密碼是枚舉的一部分時(shí)，我們不再識别 Swift 中的密碼

•  .NET 中缺少 XML 驗證問題

•  在 Java 項目中缺少針對(duì) Null 的檢查

[1] 使用 SCA v21.2.0 或更高版本時(shí)預期會(huì)得到改進(jìn)的結果。
[2] 需要 SCA v21.1.0 和标志：'-Dcom.fortify.sca.use.json-analyzer=true'。
[3] 需要 SCA v21.2.0 或更高版本。從 SCA v21.2.0 開(kāi)始不需要标志。

CyberRes Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 將(jiāng)針對(duì)數千個漏洞的檢查與指導用戶通過(guò) SmartUpdate 立即獲得以下更新的策略相結合：

漏洞支持

不安全部署：HTTP 請求走私

HTTP2 over clear text smuggling，或 h2c smuggling，是傳統 HTTP 請求走私的替代方案，它濫用 h2c-unaware 前端（例如代理服務器）來創建通往後(hòu)端系統的隧道(dào)。攻擊者可以使用此隧道(dào)向(xiàng)後(hòu)端服務器走私額外的請求，而不會(huì)被前端服務器檢測到。這(zhè)可以使攻擊者能(néng)夠繞過(guò)前端的授權控制并訪問後(hòu)端系統上的受限資源。此版本包括檢測可用于 h2c 走私攻擊的配置的檢查。

訪問控制：缺少授權檢查

GraphQL 自省使服務器能(néng)夠查詢以獲取有關底層架構的信息。自省提供有關查詢、類型和字段等元素的詳細信息。GraphQL 自省通常默認啓用。未經(jīng)适當授權的攻擊者可能(néng)會(huì)濫用此信息進(jìn)行 SQL 注入和批處理攻擊等攻擊。此版本包括檢測啓用了自省的 GraphQL 端點的檢查。

NoSQL 注入：MongoDB

NoSQL 腳本注入漏洞允許攻擊者在數據庫中注入惡意查詢。MongoDB 是 NoSQL 數據庫之一，其文檔說(shuō)明它允許應用程序運行 JavaScript 操作。NoSQL 注入非常危險，因爲未經(jīng)身份驗證的攻擊者可以提取數據或執行 JavaScript 代碼。這(zhè)可能(néng)導緻遠程代碼執行、機密性、應用程序數據完整性和拒絕服務 (DoS) 攻擊。此版本包括檢測 MongoDB 中 NoSQL 腳本注入的檢查。

動态代碼評估：不安全的反序列化

7.0 之前的 ForgeRock AM 服務器和 14.6.4 之前的 OpenAM 服務器中的預授權不安全 Java 反序列化漏洞已被 CVE-2021-35464 識别。此漏洞允許攻擊者在 jato.pageSession 參數中制作惡意序列化對(duì)象，并通過(guò)單個請求將(jiāng)其發(fā)送到端點“/ccversion/Version”。該漏洞的存在是由于應用程序中使用了不安全的第三方 Java 庫。此問題通常允許攻擊者在服務器上執行任意代碼、濫用應用程序邏輯或拒絕服務 (DoS) 攻擊。此版本包括一項檢查以檢測目标 Web 服務器上的此漏洞。

跨站腳本：DOM [1]

當動态生成(chéng)的網頁顯示未正确驗證的用戶輸入（例如登錄信息）時(shí)，會(huì)發(fā)生跨站點腳本，從而允許攻擊者將(jiāng)惡意腳本嵌入生成(chéng)的頁面(miàn)中，然後(hòu)在查看該頁面(miàn)的任何用戶的計算機上執行該腳本。地點。在基于文檔對(duì)象模型 (DOM) 的 XSS 的情況下，惡意内容作爲 DOM 操作的一部分執行。如果成(chéng)功，DOM 跨站點腳本漏洞可被利用來操縱或竊取 cookie、創建可能(néng)被誤認爲是有效用戶的請求、破壞機密信息或在最終用戶系統上執行惡意代碼。此版本包含一項新檢查，用于檢測客戶端 URI 片段上的 DOM XSS。

Web 服務器配置錯誤：不安全的映射指令

將(jiāng) Nginx 配置爲在 Web 服務器上執行 PHP 有時(shí)會(huì)提倡將(jiāng)每個以 .php 結尾的 URI 傳遞給後(hòu)端 PHP 解釋器（例如 FastCGI）。如果請求的完整路徑沒(méi)有指向(xiàng)實際存在的文件，具有這(zhè)種(zhǒng)不安全 PHP 配置的 Nginx 會(huì)將(jiāng) URL 路徑中的文件夾視爲要執行的目标文件。這(zhè)種(zhǒng)錯誤配置允許攻擊者在任何類型的文件（例如圖像文件）中執行任意 PHP 代碼，前提是它可以上傳到 Web 服務器并被訪問。此版本包括一項檢查以檢測目标 Web 服務器上的此漏洞。

整數溢出

從 0.5.6 到 1.13.2 的 Nginx 版本容易受到由 CVE-2017-7529 識别的整數溢出漏洞的攻擊。此問題存在于 Nginx 範圍過(guò)濾器模塊中，允許攻擊者通過(guò)發(fā)送特制請求來獲取潛在的敏感信息。此版本包括檢測目标 Web 服務器上的 CVE-2017-7529 漏洞的檢查。

合規報告

2021 年常見弱點枚舉 (CWE TM ) 前 25 名

Common Weakness Enumeration (CWE TM ) Top 25 Most Dangerous Software Weaknesses (CWE Top 25) 于 2019 年推出并取代了 SANS Top 25。7 月發(fā)布，2021 CWE Top 25 是使用啓發(fā)式公式确定的，該公式將(jiāng)頻率和嚴重性标準化過(guò)去兩(liǎng)年向(xiàng)國(guó)家漏洞數據庫 (NVD) 報告的漏洞數量。此 SecureBase 更新包括到這(zhè)些 CWE 類别的映射。此 SecureBase 更新包括直接映射到 CWE 前 25 名識别的類别或通過(guò)“ChildOf”關系與前 25 名中的 CWE-ID 相關的 CWE-ID 的檢查。

政策更新

2021 年 CWE 前 25 名

WebInspect SecureBase 支持策略列表中添加了自定義策略以包含與 CWE Top 25 2021 相關的檢查。

雜項勘誤

在此版本中，我們繼續投入資源以确保我們可以減少誤報問題的數量并提高客戶審核問題的能(néng)力。客戶還(hái)可以看到與以下相關的報告問題的變化：

LDAP 注入

此版本包括對(duì) LDAP 注入檢查的改進(jìn)，以減少誤報并提高其結果的準确性。

CyberRes Fortify 高級内容

研究團隊構建、擴展和維護我們核心安全情報産品之外的各種(zhǒng)資源。

 2021 年 CWE 前 25 名

爲了伴随新的關聯，此版本還(hái)包含一個新的 Fortify 軟件安全中心報告包，支持 2021 CWE Top 25，可從 Fortify 客戶支持門戶的高級内容下下載。

CyberRes Fortify 分類法：軟件安全錯誤

Fortify Taxonomy 站點包含對(duì)新添加的類别支持的描述，可從https://vulncat.fortify.com 獲得。尋找具有最新支持更新的舊站點的客戶可以從 CyberRes Fortify 支持門戶獲得它。 

[1] 需要WI v21.2.0或更高版本。

關于蘇州華克斯信息科技有限公司

聯系方式：400-028-4008

                0512-62382981

專業的測試及安全産品服務提供商

Fortify | Webinspect | AppScan | SonarQube 

LoadRunner | UFT（QTP) | ALM（QC）| Nessus 

Micro Focus （原HPE）鉑金合作夥伴

SonarQube中國(guó)總代理

HCL中國(guó)合作夥伴

極狐GiLab鉑金級合作夥伴