Fortify软件强化静态代码分析器使软件更快地生产“将FINDBUGSXML转换为HPFORTIFYSCAFPR|MAIN|CA特权身份管理员安全研究白皮书?强化针对JSSEAPI的SCA自定义规则滥用允许所有的行动应用程序不检查服务器发送的数字证书是否发送到客户端正在连接的URL。Java安全套接字扩展（JSSE）提供两组API来建立安全通信，一个HttpsURLConnectionAPI和一个低级SSLSocketAPI。HttpsURLConnectionAPI默认执行主机名验证，再次可以通过覆盖相应的HostnameVerifier类中的verify（）方法来禁用（在GitHub上搜索以下代码时，大约有12，800个结果）。HostnameVerifierallHostsValid=newHostnameVerifier（）{publicbooleanverify（Stringhostname，SSLSessionsession）{返回真}};SSLSocketAPI不开箱即可执行主机名验证。以下代码是Java8片段，仅当端点标识算法与空字符串或NULL值不同时才执行主机名验证。privatevoidcheckTrusted（X509Certificate[]chain，源代码检测工具fortifysca价格，StringauthType，SSLEngineengine，booleanisClient）throwsCertificateException{...StringidentityAlg=engine.getSSLParameters（）。getEndpointIdentificationAlgorithm（）;if（identityAlg！=null&&identityAlg.length（）！=0）{checkIdentity（session，chain[0]，identityAlg，源代码检测工具fortify哪里有卖，isClient，getRequestedServerNames（发动机））;}...}当SSL/TLS客户端使用原始的SSLSocketFactory而不是HttpsURLConnection包装器时，识别算法设置为NULL，因此主机名验证被默认跳过。因此，如果攻击者在客户端连接到“domain.com”时在网络上具有MITM位置，则应用程序还将接受为“some-evil-domain.com”颁发的有效的服务器证书。这种记录的行为被掩埋在JSSE参考指南中：“当使用原始SSLSocket和SSLEngine类时，江西源代码检测工具fortify，您应该始终在发送任何数据之前检查对等体的凭据。SSLSocket和SSLEngine类不会自动验证URL中的主机名与对等体凭FortifySCA服务可交付材料源代码安全风险评估的目标文档描述了这些内容：l针对对黑ke感兴趣的资产、代码实现上的错误，这些错误将危及这些资产的安全，源代码检测工具fortify代理商，以及在使用的技术和编程语言中常见错误；l针对每一个已经识别漏洞的报告，包括所发现漏洞的概述、影响和严重性以及再现该漏洞的步骤和可用于修复该漏洞缺限的补救措施建议；l终源代码安全风险评估报告详细说明本次风险评估结果、成果和整体印象、审查期间发现的问题、进行额外审查的建议，以及针对已确定漏洞进行补救的建议。FortifySCA优点SecureCodingRulepacks?（安全编码规则包）AuditWorkbench（审查工作台）CustomRuleEditor&CustomRuleWizard(规则自定义编辑器和向导)DeveloperDesktop(IDE插件）其主要特点：1.集中管理2.化分优先级3.标记趋势4.协同工作平台5.产生多种报表江西源代码检测工具fortify-苏州华克斯公司由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务，公司拥有“Loadrunner,Fortify,Webinspect”等品牌，专注于行业软件等行业。，在苏州工业园区新平街388号的名声不错。欢迎来电垂询，联系人：华克斯。)