代码审计Forfity常见扫描漏洞原理与修复意见介绍_常见fortify扫描漏洞修复方法资源-CSDN文库

Fortify

代码审计

需积分: 5 76 浏览量 2022-12-22 11:46:02 上传评论收藏 76KB DOCX 举报

资源推荐

资源详情

资源评论

代码审计 Forfity 常见扫描

漏洞原理与修复意见介绍

1. 系统信息泄漏（System Information Leak） ...................................................................4

1.1 漏洞原理及危害介绍 ............................................................................................4

1.1 解决办法 ................................................................................................................4

2. Insecure Randomness（不安全的随机数） ....................................................................4

2.1 漏洞原理及危害介绍 ............................................................................................4

2.2 修复建议 ................................................................................................................5

3. 任意文件上传漏洞 ...........................................................................................................5

3.1 漏洞原理及危害介绍 ............................................................................................5

3.2 修复建议 ................................................................................................................5

4. 源代码泄露漏洞 ...............................................................................................................5

4.1 漏洞原理及危害介绍 ............................................................................................5

4.2 修复建议 ................................................................................................................5

5. SVN 库发现漏洞................................................................................................................6

5.1 漏洞原理及危害介绍 ............................................................................................6

5.2 修复建议 ................................................................................................................6

6. SQL 注入............................................................................................................................6

6.1 漏洞原理及危害介绍 ............................................................................................6

6.2 修复建议 ................................................................................................................6

7. 跨站脚本攻击漏洞 ...........................................................................................................7

7.1 漏洞原理及危害介绍 ............................................................................................7

7.2 修复建议 ................................................................................................................7

8. 任意文件下载漏洞 ...........................................................................................................8

8.1 漏洞原理及危害介绍 ............................................................................................8

8.2 修复建议 ................................................................................................................8

9. URL 跳转漏洞....................................................................................................................9

9.1 漏洞原理及危害介绍 ............................................................................................9

9.2 修复建议 ................................................................................................................9

10. 启用了不安全的 HTTP 方法.............................................................................................9

10.1 漏洞原理及危害介绍 ............................................................................................9

10.2 修复建议 ................................................................................................................9

11. 直接访问管理页面漏洞 ...................................................................................................9

11.1 漏洞原理及危害介绍 ..................................................................................................9

11.2 修复建议 ......................................................................................................................9

12. Flash 参数 AllowScriptAccess 已设置为 always 漏洞 ................................................10

12.1 漏洞原理及危害介绍 ................................................................................................10

12.2 修复建议 ....................................................................................................................10

13. 命令注入 .........................................................................................................................10

13.1 漏洞原理及危害介绍 ................................................................................................10

13.2 修复建议 ....................................................................................................................11

14. HTTP 响应截断................................................................................................................12

14.1 漏洞原理及危害 ........................................................................................................12

14.2 修复建议 ....................................................................................................................13

15. 硬编码密码 .....................................................................................................................14

15.1 漏洞原理及危害 ........................................................................................................14

15.2 修复建议....................................................................................................................14

16. 在配置文件中使用明文密码 .........................................................................................14

16.1 漏洞原理及危害介绍 ................................................................................................14

16.2 修复建议 ....................................................................................................................14

17. 弱加密漏洞 .....................................................................................................................19

17.1 漏洞原理及危害 ........................................................................................................19

17.2 修复建议 ....................................................................................................................20

18. 不安全的哈希算法漏洞 .................................................................................................21

18.1 漏洞原理及危害 ........................................................................................................21

18.2 修复建议 .....................................................................................................................21

19. XML 注入.........................................................................................................................22

19.1 漏洞原理及危害 ........................................................................................................22

19.2 修复建议 ....................................................................................................................23

20. 路径遍历 .........................................................................................................................23

20.1 漏洞原理及危害 ........................................................................................................23

20.2 修复建议 ....................................................................................................................24

21. XML 外部实体注入 .........................................................................................................24

1. 系统信息泄漏（System Information Leak）

1.1 漏洞原理及危害介绍

当系统数据或调试信息通过输出流或者日志功能流出程序时，就会发生信息

泄漏。

1.1 解决办法

个人认为如果没必要输出或是记入日志的系统信心就简单 print.write("系统

出错");就行了，当然如果这样做了系统真的出错对维护来说确实是个困难。看

下面两段代码：

[java] view plain copy

</pre><pre name="code"

class="java">out.println("("+exception.getMessage()+")");

print.write(errorMessage);

根据选定屏幕的配置，此信息可转储到屏幕，也可以直接发送到打印机。在

某些情况下，版本信息正好可以准确地告诉攻击者入侵此系统的可能性有多大。

同样，错误消息也可以告诉攻击者入侵此系统的可能性究竟有多大。例如，一个

数据库错误消息可以揭示应用程序容易受到 SQL Injection 攻击。其他的错误消

息可以揭示有关该系统的更多间接线索。

2. Insecure Randomness（不安全的随机数）

2.1 漏洞原理及危害介绍

不安全的随机数：电脑是一种具有确定性的机器，因此不可能产生真正的随

机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种

子。PRNG 包括两种类型：统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG

可提供有用的统计资料，但其输出结果很容易预测，因此数据流容易复制。若安

全性取决于生成数值的不可预测性，则此类型不适用。密码学的 PRNG 通过可

产生较难预测的输出结果来应对这一问题。为了使加密数值更为安全，必须使攻

击者根本无法、或极不可能将它与真实的随机数加以区分。通常情况下，如果并

未声明 PRNG 算法带有加密保护，那么它有可能就是一个统计学的 PRNG，不

应在对安全性要求较高的环境中使用，其中随着它的使用可能会导致严重的漏洞

（如易于猜测的密码、可预测的加密密钥、会话劫持攻击和 DNS 欺骗）。

剩余27页未读，继续阅读

评论收藏

内容反馈

sec2024

粉丝: 4
资源: 34

代码审计Forfity常见扫描 漏洞原理与修复意见介绍

代码审计文档（包括修复方案）

fortify扫描问题总结

Java代码审计案例及修复

fortify规则包概述

Fortify SCA 安装使用手册

PHP代码审计文档.zip

JAVA代码审计常用漏洞总结

代码审计 企业级Web代码安全架构

php-java+代码审计+代码审计软件seay+程序员+挖洞+代码审计漏洞查找+生成代码审计报告

代码审计基础-漏洞银行大咖面对面2-SHIELD

PHP代码审计音频文件.zip

代码审计 期末考试题卷（一）

代码审计标准方案.pdf

PHP代码审计工具V2.0.3源码20121015

Seay PHP代码审计工具 V2.0.3源码

Seay PHP代码审计工具 v2.1.zip

代码审计之youdiancms最新版getshell漏洞1

php代码审计入坑实践.pdf

php代码审计pdf

代码审计报告完整版.pdf

Seay源代码审计.exe

Seay源代码审计工具

Java第十五届蓝桥杯大赛软件JavaB组真题

SwitchHosts

安卓期末大作业（AndroidStudio开发），垃圾分类助手app，分为前台后台，代码有注释，均能正常运行

Notepad++安装包

2024北森能力测评题库.7z

微信小程序源码-合集1.rar

Java面试八股文2023最新版

最新资源

代码审计Forfity常见扫描漏洞原理与修复意见介绍

代码审计企业级Web代码安全架构

代码审计期末考试题卷（一）