Fortify扫描 -- 软件安全错误的分类

最新推荐文章于 2023-12-21 16:02:44 发布
转载 最新推荐文章于 2023-12-21 16:02:44 发布 · 4.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:http://blog.51cto.com/huaweicainiao/2328458
文章标签:

#java #数据库 #运维

本文详细介绍了Fortify扫描中软件安全错误的七大类别:输入验证和表示、API滥用、安全功能、时间和状态、错误、代码质量和封装。这些问题可能导致缓冲区溢出、跨站脚本、SQL注入等安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

软件安全错误分类

  • Input Validation and Representation: 输入验证和表示
  • API Abuse: API滥用
  • Security Features: 安全功能
  • Time and State: 时间和国家
  • Errors: 错误
  • Code Quality: 代码质量
  • Encapsulation: 封装

1 Input Validation and Representation(输入验证和表示)

输入验证和表示问题是由元字符,备用编码和数字表示引起的。 信任输入导致安全问题。 问题包括:缓冲区溢出,跨站点脚本***,SQL注入以及许多其他问题

功能模块 扫描项
Input Validation and Representation Buffer Overflow
Input Validation and Representation Command Injection
Input Validation and Representation Cross-Site Scripting
Input Validation and Representation Format String
Input Validation and Representation HTTP Response Splitting
Input Validation and Representation Illegal Pointer Value
Input Validation and Representation Integer Overflow
Input Validation and Representation Log Forging
Input Validation and Representation Path Manipulation
Input Validation and Representation Process Control
Input Validation and Representation Resource Injection
最低0.47元/天 解锁文章

200万优质内容无限畅学
Fortify安全扫描Java Android 代码审计 问题及解决方案整理
Swallow的博客
10-16 8162
Access Control: SecurityManager Bypass Explanation 使用通过即时调用者的类加载器检查执行任务的 Java API 时应小心谨慎。这些 API 会绕过可确保已向执行链中的所有调用者授予了必需安全权限的 SecurityManager 检查。由于这些 API 可能会削弱系统安全性,因此不应在不可信认的代码上调用它们。 在这种情况下: 1. 可以通过...
fortify 漏洞扫描的几种解决方式
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决。 解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题。 Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
fortify代码扫描问题结果分析
bkhech的专栏
09-18 1733
最近项目的代码使用fortify工具扫描了一下,发现了项目中存在的一些问题,在以后代码编写的过程中要注意,避免出现类似的错误。 以下为本次代码分析工具FORTIFY对代码的分析结果。这些问题虽然古老、简单然而经典,也是需要引起重视。 代码问题主要集中在如下类别:存在安全隐患、存在资源泄漏隐患、序列化问题、字符串比较、异常处理问题,以及其它一些BAD PRACTICE和粗
代码安全缺陷分析
java、c++、机器学习方向King
01-03 5401
安全缺陷种类 本次测试涵盖各类常见安全缺陷。根据缺陷形成的原因、被利用的可能性、造成的危害程度和解决的难度等因素进行综合考虑,可以将常见的安全缺陷分为八类: 1、输入验证与表示(Input Validation and Representation) 输入验证与表示问题通常是由特殊字符、编码和数字表示所引起的,这类问题的发生是由于对输入的信任所造成的。这些问题包括:缓冲区溢出、跨
Fortify代码扫描问题及修复
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
关于输入校验(Input valiation)和SQL注入(SQL injection)
Mike的专栏
12-23 5417
要防SQL注入就要了解所有可能的SQL注入. 个人认为不存在验证层一说. 这个属于输入校验Input validation. 应该与各页面结合起来. 同时使用客户端验证和服务器端验证. 之所以要同时用客户端和服务器端验证, 客户端验证是为了减少向服务器提交的次数, 服务器端验证是为了安全, 因为黑客可以绕过Javascript等向服务器提交非法数据. 所有需要输入的地方, 包括web form中每
Fortofy扫描安全漏洞解决——Path Manipulation (Input Validation and Representation, Data Flow) 文件路径安全漏洞
最新发布
weixin_52536274的博客
12-21 3129
Path Manipulation (Input Validation and Representation, Data Flow) 文件路径安全漏洞Fortofy的官方问题描述说明比较难理解,简言之,文件路径不安全,那么如何解决呢?
fortify-sca产品介绍
11-07
Fortify SCA 是一款静态的、白盒式的软件源代码安全测试工具,由惠普公司(HP)开发。该工具通过对应用软件的源代码进行静态分析,帮助开发者识别并解决潜在的安全漏洞。Fortify SCA 主要针对五大主要分析引擎进行...
Fortify-SCA合规性把关:5个步骤确保行业安全标准
![Fortify-SCA合规性把关:5个步骤确保行业安全标准]...文章首先介绍了Fortify-SCA的基本功能与组件,以及如何通过合规性评估确保软件安全符合行业标准。接着,详细阐述了合规性检查的准备、执行和报告流程,强调了自动
Fortify-SCA扩展探秘:打造定制化插件与功能
本文深入探讨了Fortify-SCA在软件安全领域的应用,包括其核心机制、定制化插件开发以及功能扩展。首先,概述了Fortify-SCA的代码分析引擎,重点分析了静态与动态分析技术以及代码覆盖率与分析深度的优化。其次,详细...
Fortify解决方案手册.docx
04-23
Fortify解决方案手册.docx
fortify规则包概述
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2070813
fortify安全基础知识 不同语言软件安全漏洞
05-27
1.软件安全基础知识 2.Java语言软件安全漏洞 3.CC++语言的软件安全漏洞 4.dotNET语言软件安全漏洞
Fortify SCA 源代码安全测试工具-----介绍
视频质量测试mazhitong1227的博客
07-27 6440
Fortify SCA 源代码安全测试工具-----介绍                  关于fortify成立于2003年的Fortify Software是全球领先的软件安全产品解决方案供应商。Fortify Software软件产品主要包括业界最优秀的软件安全源代码扫描器,业界唯一的软件应用监控防卫器以及可以管理软件开发中的安全流程的管理平台等。         Fortify
如何解决跨站脚本攻击
z69183787的专栏
06-25 2万+
摘要: Cross-site scripting(CSS or XSS)跨站脚本不像其他攻击只包含两个部分:攻击者和web站点,跨站脚本包含三个部分:攻击者,客户和web站点。跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。 攻击 一个get请求 GET /welcome.cgi Cross-site scripting(CSS or XSS)跨
Fortify SCA快速入门以及常见问题解决方法
热门推荐
一个测试工程师的代码世界
10-15 5万+
本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态扫描测试。快速入门 规则库导入: 所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Cor
HP Fortify SCA安全检测工具初知
shanshan1yi的博客
09-20 6088
产品简介   SCA是Fortify SSC (Software Security Center) 的分析器之一。SCA使用于开发阶段,可分析应用程式的程式码是否存有安全漏洞。   通过程式码安全分析器找出应用程式可能会执行的所有路径,SCA从程式码中指出安全漏洞。它可以在有效的时间内分析大量的程式码,并可以让开发人员花费更少的时间与精力来了解和解决问题,让修复问题变得容易!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值