SDL中Fortify扫描漏洞及修复方式

2019-12-14  本文已影响0人  Magicknight

  现在越来越多的企业要做SDL方案,安全编码是其中的一环,而安全编码,很多时候是借助扫描工具来发现漏洞,企业常用的代码扫描工具有Fortify、Checkmarx等,我经历的公司大多都是用Fortify;也经常需要审计Fortify的扫描结果,并帮助开发修复,为此经常给开发培训,并整理常见的漏洞修复列表。

  这里会涉及到一个很重要的问题,就是如何判断漏洞是否误报?
其实是看输入是不是外部输入或者用户的输入,当扫描出来漏洞时,如果不是外部输入或者用户输入,
那么很多时候是没有问题的,但大多数扫描出来的漏洞都是很容易修复的,所以根据纵深防御原则,有必要都修复,修复总的原则是,外部输入不可信,尽量减少外部输入,服务器端要校验。

下面我分享一下Fortify扫常见的漏洞及修复方式:

1. SQL注入(SQL Injection)
修复方法:
(1)如果是使用mybaits的框架,使用#符号替代符号,禁止使用,应为$符号是直接拼接数据库语句;
(2)如果没有使用框架,直接查询的话,可以使用Java预编译的方法PreparedStatement修复;

// This should REALLY be validated too
String custname = request.getParameter("customerName"); 
// Perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname); 
ResultSet results = pstmt.executeQuery( );

2. XXE(XML External Entity Injection\XML Injection

修复方法:
(1)上传XML文件和office文档的地方,解析器禁用外部实体,

XMLReader reader = XMLReaderFactory.createXMLReader();
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
// This may not be strictly required as DTDs shouldn't be allowed at all, per previous line.
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false); 
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

3. Spring-boot-actuator 配置安全( Spring Boot Misconfiguration: Shutdown Actuator Endpoint Enabled\System Information Leak: Spring Boot Actuators Enabled)
修复方法:
(1)关闭开启的断点

endpoints.enabled = false
// 如果要开启一个端点,可以先关闭所有再开启
endpoints.metrics.enabled = true

(2)开启安全认证,引入spring-boot-starter-security依赖

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

在application.properties中指定actuator的端口以及开启security功能,配置访问权限验证,这时再访问actuator功能时就会弹出登录窗口,需要输入账号密码验证后才允许访问。

management.port=8099
management.security.enabled=true
security.user.name=admin
security.user.password=admin

4. XSS漏洞(Cross-Site Scripting: Reflected\ Cross-Site Scripting: Persistent)
修复方法:
(1)通过OWASP的ESAPI防XSS组件,输出编码,先通过Maven引入JAR包;

<dependency>
    <groupId>org.owasp.encoder</groupId>
    <artifactId>encoder</artifactId>
    <version>1.2.2</version>
</dependency>

<dependency>
    <groupId>org.owasp.encoder</groupId>
    <artifactId>encoder-jsp</artifactId>
    <version>1.2.2</version>
</dependency>

然后使用时,输出编码

PrintWriter out = ....;
    out.println("<textarea>"+Encode.forHtml(userData)+"</textarea>");

(2) 根据业务场景,校验输入的数据类型和字符长度;

5. 未授权访问的MongoDB(Unauthenticated Service: MongoDB)
修复方法:
(1)不要把MongoDB服务器部署在互联网上或者DMZ,开启MongoDB的授权访问;

编辑 /etc/mongo.conf 文件,找到 #auth=true , 去掉注释.
创建用户管理员

另外再连接MongoDB的时候

public class MongoDBJDBC {  
    public static void main(String[] args){  
        try {  
            //连接到MongoDB服务 如果是远程连接可以替换“localhost”为服务器所在IP地址  
            //ServerAddress()两个参数分别为 服务器地址 和 端口  
            ServerAddress serverAddress = new ServerAddress("localhost",27017);  
            List<ServerAddress> addrs = new ArrayList<ServerAddress>();  
            addrs.add(serverAddress);  
              
            //MongoCredential.createScramSha1Credential()三个参数分别为 用户名 数据库名称 密码  
            MongoCredential credential = MongoCredential.createScramSha1Credential("username", "databaseName", "password".toCharArray());  
            List<MongoCredential> credentials = new ArrayList<MongoCredential>();  
            credentials.add(credential);  
              
            //通过连接认证获取MongoDB连接  
            MongoClient mongoClient = new MongoClient(addrs,credentials);  
              
            //连接到数据库  
            MongoDatabase mongoDatabase = mongoClient.getDatabase("databaseName");  
            System.out.println("Connect to database successfully");  
        } catch (Exception e) {  
            System.err.println( e.getClass().getName() + ": " + e.getMessage() );  
        }  
    }  
} 

6. 硬编码(Password Management: Hardcoded Password)
修复方法:
(1) 不允许把用户的密码硬编码在代码中,可以加密放在配置文件中,最好的方法是存入密码托管服务

7. 密钥长度不够(Weak Encryption: Inadequate RSA Padding)
修复方法:
(1) 目前RSA的密钥长度要求至少2048位,随着算力的增长,将来可能要求更长;

8. AES的ECB模式不安全,不能隐藏加密模式( Weak Encryption: Insecure Mode of Operation)
修复方法:
(1)禁用ECB,使用CBC,或者最新的加密算法GCM;

9. 不安全的密码算法(Weak Encryption)
修复方法:
(1)使用AES-CBC模式等,禁用DES,3DES;

10. 目录遍历漏洞(Path Manipulation: Absolute Path Traversal)
修复方法:
(1)禁止把绝对路径传入到前端,使用文件id的方法
(2)过滤../及其编码

参考
(1) https://xz.aliyun.com/t/2233

(2) https://vulncat.fortify.com/en/weakness?q=spring%20boot

(3) https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html

(4) https://github.com/OWASP/owasp-java-encoder

(5) https://www.runoob.com/mongodb/mongodb-java.html``

上一篇下一篇

猜你喜欢

热点阅读