Fortify软件安全内容 2022 更新 4

admin
admin
admin
102340
文章
87
评论
2022年12月19日13:14:23Fortify软件安全内容 2022 更新 4已关闭评论167 views字数 25154阅读83分50秒阅读模式

关于Fortify软件安全研究

Fortify 软件安全研究团队将前沿研究转化为安全情报,为 Fortify 产品组合提供支持,包括 Fortify 静态代码分析器SCA Fortify WebInspect。如今,Fortify 软件安全内容支持 30 种语言的 1286 个漏洞类别,涵盖超过 100 万个单独的 API

Fortify Software Security Research SSR很高兴地宣布立即推出 Fortify Secure Coding Rulepacks(英语,版本 2022.4.0)、Fortify WebInspect SecureBase(可通过 SmartUpdate 获得)和 Fortify Premium Content 的更新。

Fortify安全编码规则包 [Fortify SCA]

在此版本中,Fortify 安全编码规则包可检测 30 种编程语言中的 1066 个独特类别的漏洞,并跨越超过 100 万个单独的 API。总之,此版本包括以下内容:

Flask更新(支持的版本:v2.2.x

Flask是一个用Python编写的微型Web框架,不需要开箱即用的特定工具或库。它是一个轻量级且完善的框架,通常最适合中小型项目,但也能够处理相对复杂的项目,例如小型 API 和微服务。支持的类别包括:

  • Cross-Site Scripting: Persistent

  • Cross-Site Scripting: Poor Validation

  • Cross-Site Scripting: Reflected

  • JSON Injection

  • Often Misused: File Upload

  • Open Redirect

  • Path Manipulation

  • Privacy Violation

  • Server-Side Template Injection

  • System Information Leak: External

  • System Information Leak: Internal

适用于 Swift  iOS SDK 更新(支持的版本:16[1]

AppleiOS SDK提供了一系列框架,使开发人员能够为Apple iPhoneiPad设备构建移动应用程序。此版本包含对 iOS SDK  Swift 支持的增量更新。新的和更新的规则扩展了 iOS SDK 15  16  Swift iOS  iPadOS 应用程序中基础框架的 API 覆盖范围。这些更新改进了许多现有弱点类别的问题检测,包括:

  • Insecure SSL: Overly     Broad Certificate Trust

  • Insecure Transport: Weak     SSL Protocol

  • Privacy Violation

  • Resource Injection

  • System Information Leak

Salesforce Apex  Visualforce Updates(支持的版本:v55[2]

Salesforce Apex是用于创建Salesforce应用程序(如业务事务,数据库管理,Web服务和Visualforce页面)的编程语言。此更新改进了我们对数据库操作、SOAP Web 服务、REST Web 服务、核心 Apex 系统 API、加密 API  Visualforce 页面组件的支持。Apex 新支持的类别包括:

  • Cookie Security: Cookie not Sent Over SSL

  • Cookie Security: Missing SameSite Attribute

  • Cookie Security: Overly Broad Path

  • Cookie Security: Overly Permissive SameSite     Attribute

  • Cookie Security: Persistent Cookie

  • Header Manipulation

  • Header Manipulation: Cookies

  • Insecure Transport

  • Key Management: Hardcoded Encryption Key

  • Log Forging (debug)

  • Open Redirect

  • Password Management: Empty Password

  • Password Management: Hardcoded Password

  • Path Manipulation

  • Privacy Violation

  • Server-Side Request Forgery

  • System Information Leak: External

  • System Information Leak: Internal

  • Weak Cryptographic Hash

  • Weak Encryption: Insecure Initialization Vector

此外,还对以下受支持的类别进行了其他改进:

  • Cross-Site Scripting: Persistent

  • Cross-Site Scripting: Poor Validation

  • Cross-Site Scripting: Reflected

秘密扫描改进

机密扫描是在各种源代码和配置文件中查找机密的概念。SSR 已经支持多种类型的密钥,SCA 将密钥扫描规则应用于所有文件类型,从而允许查找特定的密钥,而不管代码语言如何。支持已扩展为涵盖以下机密:

  • 凭据管理:硬编码的 API 凭据,用于硬编码的持有者令牌

  • 密码管理:硬编码密码,用于 SQL Server 连接字符串中的硬编码密码

  • 密码管理:注释中的密码,用于 XML 注释中的密码[3]

谷歌Guava初始覆盖率(支持的版本:v31.1)。

Guava是一组来自GoogleJava库,其中包括新的集合类型(例如multimapmultiset),不可变集合,图形库以及用于并发,I / O,哈希缓存,原语,字符串等的实用程序。它被广泛用于谷歌和其他公司的Java项目中。支持的类别包括:

  • 空取消引用

  • 路径操作

  • 侵犯隐私

  • 设置操作

  • 系统信息泄露

  • 未释放的资源

  • 不安全反射

  • 弱加密哈希

  • 弱加密哈希:用户控制的最小位

  • 弱加密哈希:用户控制的种子

  • 弱加密

Hot Chocolate初始覆盖(支持的版本:12.15.2

Hot Chocolate 是一个建立在 Microsoft .NET 平台之上的开源 GraphQL 服务器。Hot Chocolate 使开发人员能够为其应用程序快速创建和部署基于 GraphQL  API。此版本增加了对热巧克力的初始支持,包括检测使用热巧克力开发的 GraphQL API 中的以下弱点类别:

  • 跨站点脚本:组件间通信(云)

  • 跨站点脚本:持久

  • 跨站点脚本:验证不佳

  • 跨站点脚本:反射

  • GraphQL 不良实践:启用内省

  • 侵犯隐私

  • 系统信息泄露:外部

  • 信任边界冲突

适用于 Java  gRPC 扩展和适用于 Python 的初始覆盖(支持的版本:1.49.1

Google Remote Procedure Call gRPC是一个多环境和多语言的现代开源高性能 RPC 框架。gRPC 将服务与负载均衡、跟踪和身份验证的支持联系起来。与传统的 JSON-over-HTTP 不同,gRPC 基于 HTTP2,通常对消息使用二进制协议缓冲区protobuf格式。

 Java gRPC 的支持已扩展为涵盖以下其他类别:

  • 访问控制:gRPC 身份验证绕过

  • 不安全的 SSL:过于广泛的证书信任

  • 日志伪造

  • 设置操作

  • Unreleased Resource: Streams

已建立对 Python gRPC 的支持,以涵盖以下类别:

  • 不安全的传输

  • 不安全的传输:gRPC 通道凭据

  • 不安全的传输:gRPC 服务器凭据

  • 侵犯隐私

  • 系统信息泄露:外部

云基础架构即代码IaC

IaC 是通过代码而不是各种手动过程来管理和预配计算机资源的过程。改进的支持包括用于部署到 AWSAzure  GCP  Terraform 配置。与这些服务的配置相关的常见问题现在报告给开发人员。

Amazon AWS Terraform Configurations
Terraform 是一种开源基础设施即代码工具,用于构建、更改云基础设施和对其进行版本控制。它使用自己的声明性语言,称为HashiCorp配置语言(HCL)。云基础架构在配置文件中编码,以描述所需状态。Terraform 提供商支持 Amazon Web Services AWS基础设施的配置和管理。在此版本中,我们报告了 Terraform 配置的以下类别:

  • AWS Terraform 配置错误:Amazon API Gateway 可公开访问

  • AWS Terraform 配置错误:Amazon EBS 不安全存储

  • AWS Terraform 配置错误:Amazon ElastiCache 不安全传输

  • AWS Terraform 配置错误:Amazon MQ 可公开访问

  • AWS Terraform 配置错误:Amazon Neptune 可公开访问

  • AWS Terraform 配置错误:Amazon RDS 不安全存储

  • AWS Terraform 配置错误:Amazon RDS 代理不安全传输

  • AWS Terraform 配置错误:Amazon RDS 可公开访问

  • AWS Terraform 配置错误:Amazon Redshift 可公开访问

  • AWS Terraform 配置错误:Amazon SNS 不安全存储

Microsoft Azure Terraform Configurations
Terraform 是一个开源基础架构即代码工具,用于构建、更改和版本控制云基础架构。它使用自己的声明性语言,称为HashiCorp配置语言(HCL)。云基础架构在配置文件中编码,以描述所需状态。Terraform 提供程序支持 Microsoft Azure 基础结构的配置和管理。在此版本中,我们报告了 Terraform 配置的以下类别: 

  • Azure Terraform 不良做法:AKS 群集缺少基于主机的加密

  • Azure Terraform 不良做法:Azure 磁盘快照缺少客户管理的密钥

  • Azure Terraform Bad Practices Azure     MySQL Server 缺少基础结构加密

  • Azure Terraform Bad Practices Azure     PostgreSQL Server Missing Infrastructure Encryption

  • Azure Terraform 不良做法:容器注册表缺少客户管理的密钥

  • Azure Terraform 不良做法:Cosmos DB 缺少客户管理的密钥

  • Azure Terraform 不良做法:缺少 Azure 存储基础结构加密

  • Azure Terraform 不良做法:缺少 SQL 数据库备份加密

  • Azure Terraform 不良做法:规模集缺少基于主机的加密

  • Azure Terraform 不良做法:共享映像缺少客户管理的密钥

  • Azure Terraform 不良做法:SQL 数据库缺少客户管理的密钥

  • Azure Terraform 不良做法:存储帐户缺少客户管理的密钥

  • Azure Terraform 不良做法:存储加密范围缺少客户管理的密钥

  • Azure Terraform 不良做法:VM 缺少基于主机的加密

  • Azure Terraform 配置错误:AKS 群集缺少客户管理的密钥

  • Azure Terraform 配置错误:托管磁盘缺少客户管理的密钥

  • Azure Terraform 配置错误:缺少 SQL 数据库加密

  • Azure Terraform 配置错误:VM 存储缺少客户管理的密钥

Google Cloud Platform GCP Terraform 配置
Terraform 是一个开源基础架构即代码工具,用于构建、更改和版本控制云基础架构。它使用自己的声明性语言,称为HashiCorp配置语言(HCL)。云基础架构在配置文件中编码,以描述所需状态。Terraform 提供商支持 Google Cloud Platform 基础架构的配置和管理。在此版本中,我们报告了 Google Cloud Platform Terraform 配置的以下弱点类别:

  • GCP Terraform 不良做法:Apigee 缺少客户管理的加密密钥

  • GCP Terraform 不良做法:BigQuery 缺少客户管理的加密密钥

  • GCP Terraform 不良做法:云大表缺少客户管理的加密密钥

  • GCP Terraform 不良做法:云函数缺少客户管理的加密密钥

  • GCP Terraform 不良做法:云扳手缺少客户管理的加密密钥

  • GCP Terraform 不良做法:文件存储缺少客户管理的加密密钥

  • GCP Terraform 不良做法:发布/订阅缺少客户管理的加密密钥

  • GCP Terraform 不良做法:机密管理器缺少客户管理的加密密钥

  • GCP 地形配置错误:计算引擎缺少机密计算功能

  • GCP 地形配置错误:边缘缓存服务缺少 HTTP  HTTPS     重定向

  • GCP 地形配置错误:不安全的应用引擎域传输

  • GCP 地形配置错误:不安全的应用引擎传输

  • GCP 地形配置错误:不安全的云函数 HTTP 触发器传输

  • GCP 地形配置错误:不安全的边缘缓存服务传输

  • 基仕伯地形配置错误:供应链不安全

  • GCP 地形配置错误:URL 映射缺少 HTTP  HTTPS 重定向

其他勘误表

在此版本中,已投入资源来确保我们可以减少误报问题的数量,重构一致性,并提高客户审核问题的能力。客户还可以期望看到与以下内容相关的报告问题的变化:

弃用 19.x 之前的Fortify sca版本:

如我们的 2022.3 版本公告中所述,这是支持 19.x 之前的 Fortify 静态代码分析器版本的规则包的最后一个版本。对于此版本,19.x 之前的 Fortify 静态代码分析器版本将不会加载 2022.4 规则包。这将需要降级规则包或将静态代码分析器升级到版本 19.x 或更高版本。对于未来的版本,我们将继续支持 Fortify 静态代码分析器的最后四个主要版本。

重构弱点类别的强化优先级顺序元数据

由于我们的用户能够有效地修复问题非常重要,因此我们一直在研究机制,以便在强化优先级顺序模型中更客观地确定问题的分类。作为 2022 R3 发布公告中提到的这项工作的一部分,我们已经开始审查所有规则涵盖的类别,并确定了一些需要更新的领域。以下 96 个类别的关联 Fortify 优先级顺序元数据已更改,因此您可能会看到问题出现在相同或更低严重性存储桶中(例如,严重、高、中、低)。现有筛选器可能会导致由于强化优先级顺序值及其各个组件的更改而隐藏其他问题。

  • Android Bad Practices: Encryption Secret Held in     Static Field

  • Android Bad Practices: Use of Released Camera     Resource

  • Android Bad Practices: Use of Released Media     Resource

  • Android Bad Practices: Use of Released SQLite     Resource

  • NET Bad Practices: Non-Serializable Object Stored in     Session

  • Buffer Overflow

  • Buffer Overflow: Signed Comparison

  • Code Correctness: Arithmetic Operation on Boolean

  • Code Correctness: Function Not Invoked

  • Code Correctness: Incorrect Serializable Method     Signature

  • Code Correctness: Memory Free on Stack Variable

  • Code Correctness: Negative Content-Length

  • Code Correctness: Premature Thread Termination

  • Code Correctness: readObject() Invokes Overridable     Function

  • Code Correctness: Readonly Collection Reference

  • ColdFusion Bad Practices: Unauthorized Include

  • Cookie Security: Cookie not Sent Over SSL

  • Cross-Site Scripting: Handlebars Helper

  • Cross-Site Scripting: Inter-Component Communication

  • Cross-Site Scripting: Inter-Component Communication     (Cloud)

  • Cross-Site Scripting: Persistent

  • Cross-Site Scripting: Reflected

  • Cross-Site Scripting: Untrusted HTML Downloads

  • Dangerous Method

  • Denial of Service

  • Denial of Service: Parse Double

  • Denial of Service: Regular Expression

  • Denial of Service: Stack Exhaustion

  • Denial of Service: StringBuilder

  • Double Free

  • Dynamic Code Evaluation: Code Injection

  • Dynamic Code Evaluation: Script Injection

  • File Disclosure: Django

  • File Disclosure: J2EE

  • File Disclosure: Spring

  • File Disclosure: Spring Webflow

  • File Disclosure: Struts

  • Format String: Argument Number Mismatch

  • Header Manipulation: Cookies

  • Header Manipulation: SMTP

  • J2EE Bad Practices: Non-Serializable Object Stored     in Session

  • Log Forging

  • Null Dereference[4]

  • Often Misused: Authentication

  • Often Misused: Boolean.getBoolean()

  • Path Manipulation: Base Path Overwriting

  • Path Manipulation: Zip Entry Overwrite

  • Portability Flaw: File Separator

  • Portability Flaw: Locale Dependent Comparison

  • Privacy Violation

  • Privacy Violation: Android Internal Storage

  • Privacy Violation: BREACH

  • Privacy Violation: Heap Inspection

  • Privacy Violation: HTTP GET

  • Privacy Violation: Image

  • Privacy Violation: Keyboard Caching

  • Privacy Violation: Screen Caching

  • Privacy Violation: Sensitive Data Accessible From     iTunes

  • Privacy Violation: Shoulder Surfing

  • Privacy Violation: Unobfuscated Logging

  • Privilege Management: Android Disable

  • Privilege Management: Missing API Permission

  • Privilege Management: Missing Content Provider     Permission

  • Privilege Management: Missing Intent Permission

  • Process Control

  • Query String Injection: Android Provider

  • Race Condition: PHP Design Flaw

  • Race Condition: Singleton Member Field

  • Race Condition: Static Database Connection

  • SOQL Injection

  • SOSL Injection

  • System Information Leak: Overly Broad SQL Logging

  • System Information Leak: PHP Errors

  • System Information Leak: PHP Version

  • Unreleased Resource: Cursor Snarfing

  • Unsafe JNI

  • Unsafe JSNI

  • Unsafe Mobile Code: Access Violation

  • Unsafe Mobile Code: Database Access

  • Unsafe Native Invoke

  • Use After Free

  • Weak Encryption: Insecure Initialization Vector

  • Weak Encryption: Insecure Mode of Operation

  • Weak Encryption: Insufficient Key Size

  • Weak Encryption: Missing Required Step

  • Weak Encryption: User-Controlled Key Size

  • Weak XML Schema: Lax Processing

  • Weak XML Schema: Type Any

  • Weak XML Schema: Unbounded Occurrences

  • Weak XML Schema: Undefined Namespace

React不良做法:危险地设置 InnerHTML

 React 应用程序中使用“dangerouslySetInnerHTML”现在被标记为不良做法。

误报改进

工作仍在继续,以消除此版本中的误报。除了其他改进之外,客户还可以期望在以下方面进一步消除误报:

  • 访问控制:数据库 – 当输入来自另一个数据库调用时,在 Apex 中删除了问题

  • NET MVC 不良做法:具有必需的不可为空属性的模型 – 使用强制数据的某些特征的属性时,误报减少

  • Dockerfile 配置错误:依赖关系混淆 – 通过从头开始扩展,将创建映像时的误报减少到最低限度

  • GraphQL 不良实践:启用自检 – 注册基于类的 Flask 视图时,Flask 应用程序中的误报减少

  • 动态代码评估:JNDI 引用注入 –  Spring 引导项目将 'log4j2.version' Maven 属性设置为不受 Log4Shell 影响的版本时,误报会减少

  • 内存泄漏 – 使用 std::unique_ptr 时误报减少

  • 批量分配:不安全的绑定程序配置 –      JSONConverter 注释与 DataContractDataMember      IgnoreDataMember 一起使用时,误报减少

  • 侵犯隐私 –  .NET 中减少枚举值的误报

  • SQL 注入 –  MyBatis 查询注释中使用包含“$.”的预准备语句时,误报减少

  • 未释放的资源 – 在集合中捆绑资源时,C/C++ 扫描中的误报减少

PHP 配置错误:删除了magic_quotes类别

以下三个弱点类别已被删除,因为它们在受支持的 PHP 版本中不再相关:

  • PHP 配置错误:已启用magic_quotes_gpc

  • PHP 配置错误:magic_quotes_runtime已启用

  • PHP 配置错误:已启用magic_quotes_sybase

因此,上述类别中的所有问题都将从扫描结果中删除。

类别更改

除了误报删除外,我们还确定了一些应该统一类别或被错误标记的地方。当弱点类别名称发生更改时,将以前的扫描与新扫描合并时的扫描结果将导致添加/删除以下类别的问题。

已删除的类别

已添加类别

代码正确性:类不实现等于

代码正确性:类未实现等效方法

代码正确性:类不实现等于

代码正确性:类未实现等效方法

代码正确性:数组上的字符串

代码正确性:在 Arr ay  ToString

代码正确性:空参数等于()

代码正确性:空参数到等价方法

代码正确性:等于()的空参数

代码正确性:空参数到等价方法 

此外,我们最近的 IaC 支持中的以下 24 个类别已经过重构,以提高一致性。

已删除的类别

已添加类别

访问控制:Azure 容器注册表

Azure ARM 配置错误:不正确的容器注册表网络访问控制

访问控制:Azure SQL 数据库

Azure ARM 配置错误:不正确的 SQL Server 网络访问控制

访问控制:宇宙数据库

Azure ARM 配置错误:不正确的文档数据库网络访问控制

访问控制:Kubernetes 准入控制器

Kubernetes 不良做法:不正确的准入控制器访问控制

访问控制:Kubernetes 映像授权绕过

Kubernetes 配置错误:映像授权绕过

Ansible 不良做法:未指定 CloudWatch 日志组保留

AWS Ansible 配置错误:CloudWatch 日志记录不足

Ansible 不良做法:红移可公开访问

AWS Ansible 配置错误:红移网络访问控制不当

Ansible 不良做法:不受限制的 AWS Lambda 委托人

AWS Ansible 配置错误:不正确的 Lambda 访问控制策略

Ansible 不良做法:用户绑定的 AWS IAM 策略

AWS Ansible 不良做法:不正确的 IAM 访问控制策略

Ansible 配置错误:Azure 监视器缺少管理事件

Azure Ansible 配置错误:Azure Monitor 日志记录不足

Azure 资源管理器不良做法:跨租户复制

Azure ARM 配置错误:存储帐户网络访问控制不正确

Azure 资源管理器不良做法:已启用远程调试

Azure ARM 配置错误:不正确的应用服务访问控制

Azure 资源管理器不良做法:SSH 密码身份验证

Azure ARM 配置错误:不正确的计算 VM 访问控制

Azure 资源管理器配置错误:不安全的传输

Azure ARM 配置错误:不安全的应用服务传输

Azure 资源管理器配置错误:过于宽松的 CORS 策略

Azure ARM 配置错误:不正确的 CORS 策略

Azure 资源管理器配置错误:安全警报已禁用

Azure ARM 配置错误:Microsoft Defender 监控不足

Azure SQL 数据库配置错误:日志记录不足

Azure ARM 配置错误:SQL Server 监控不足

不安全的存储:缺少 EC2 AMI 加密

AWS CloudFormation 配置错误:不安全的 EC2 AMI 存储

不安全的存储:缺少 EFS 加密

AWS CloudFormation 配置错误:不安全的 EFS 存储

不安全的存储:缺少 Kinesis 流加密

AWS CloudFormation 配置错误:不安全的 Kinesis 数据流存储

不安全的传输:Azure 应用服务

Azure Ansible 配置错误:不安全的应用服务传输

Kubernetes 不良做法:API 服务器可公开访问

Azure ARM 配置错误:不正确的 AKS 网络访问控制

隐私侵犯:公开的默认值

Azure ARM 配置错误:硬编码机密

权限管理:过于宽松的角色

Azure ARM 配置错误:不正确的自定义角色访问控制策略

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 将针对数千个漏洞的检查与策略相结合,这些策略可指导用户通过 SmartUpdate 立即提供以下更新:

漏洞支持

服务器端请求伪造[5]

当攻击者可以影响应用程序服务器建立的网络连接时,就会发生服务器端请求伪造SSRF)。网络连接将源自应用程序服务器的内部 IP,攻击者可以使用此连接绕过网络控制并扫描或攻击未以其他方式公开的内部资源。此版本包括一项检查,用于检测接受用户输入的 Web 应用程序中的 SSRF 漏洞。

表达式语言注入

CVE-2022-42889 已发现流行的 Apache 共享资源文本库版本 1.5  1.9 中存在一个严重的远程执行代码漏洞。默认配置可能允许不安全的脚本计算和任意代码执行。此版本包括一项检查,用于检测目标 Web 服务器上的 CVE-2022-42889 漏洞。由于此检查会发送大量请求,因此它被排除在标准策略之外。使用所有检查策略,自定义现有策略以包含检查,或创建自定义策略以运行此检查。

不安全的传输:弱 SSL 密码

传输层安全性TLS和安全套接字层SSL协议提供了一种机制来帮助保护客户端和 Web 服务器之间传输的数据的真实性、机密性和完整性。例如,使用弱密码或长度不足的加密密钥可以使攻击者破坏保护机制并窃取或修改敏感信息。此版本包括由 ID 11285 标识的新检查,用于标记严重严重的传输层保护不足 - 不安全的密码漏洞。不安全的密码套件具有多个已知漏洞,并且具有微不足道的攻击。

其他勘误表

在此版本中,我们投入了资源来进一步减少误报的数量,并提高客户审核问题的能力。客户还可以期望看到与以下内容相关的报告结果的变化:

不安全的传输:弱 SSL 密码

此版本包括对传输层保护不足 – 弱密码检查11716的改进。客户应该看到此检查的严重性从严重降低到高,因为针对这些弱密码的攻击非常复杂,需要大量资源。此检查的严重性降低,并且引入的新检查以识别传输层保护不足 - 密码不安全将标记严重性问题。今后,建议的密码将不包括没有完全前向保密PFS的密码套件。

XML 外部实体注入[6]

ID 11337 标识的检查已修改为使用支持带外应用程序安全测试OAST功能的有效负载。对此检查的改进可减少误报、提高效率并提高其结果的准确性。

Fortify优质内容

研究团队在我们的核心安全智能产品之外构建、扩展和维护各种资源。

Fortify分类法:软件安全错误

Fortify 分类网站包含新添加的类别支持的说明,可在 https://vulncat.fortify.com 上找到。寻找具有上次受支持更新的旧站点的客户可以从 Fortify 支持门户获取它。

[1] iOS SDK 16 的新规则需要 Fortify Static Code Analyzer 22.2 或更高版本。
[2] 需要Fortify SCA 22.2 或更高版本。
[3] 需要Fortify SCA 22.2 或更高版本。
[4] 空取消引用更改仅适用于 Java  .NET
[5] 需要 WebInspect 21.2.0.117 修补程序或更高版本中可用的 OAST 功能。
[6] 需要 WebInspect 21.2.0.117 修补程序或更高版本中可用的 OAST 功能。

关于Fortify软件安全研究

Fortify 软件安全研究团队将前沿研究转化为安全情报,为 Fortify 产品组合提供支持,包括 Fortify 静态代码分析器SCA Fortify WebInspect。如今,Fortify 软件安全内容支持 30 种语言的 1286 个漏洞类别,涵盖超过 100 万个单独的 API

Fortify Software Security Research SSR很高兴地宣布立即推出 Fortify Secure Coding Rulepacks(英语,版本 2022.4.0)、Fortify WebInspect SecureBase(可通过 SmartUpdate 获得)和 Fortify Premium Content 的更新。

Fortify安全编码规则包 [Fortify SCA]

在此版本中,Fortify 安全编码规则包可检测 30 种编程语言中的 1066 个独特类别的漏洞,并跨越超过 100 万个单独的 API。总之,此版本包括以下内容:

Flask更新(支持的版本:v2.2.x

Flask是一个用Python编写的微型Web框架,不需要开箱即用的特定工具或库。它是一个轻量级且完善的框架,通常最适合中小型项目,但也能够处理相对复杂的项目,例如小型 API 和微服务。支持的类别包括:

  • Cross-Site Scripting: Persistent

  • Cross-Site Scripting: Poor Validation

  • Cross-Site Scripting: Reflected

  • JSON Injection

  • Often Misused: File Upload

  • Open Redirect

  • Path Manipulation

  • Privacy Violation

  • Server-Side Template Injection

  • System Information Leak: External

  • System Information Leak: Internal

适用于 Swift  iOS SDK 更新(支持的版本:16[1]

AppleiOS SDK提供了一系列框架,使开发人员能够为Apple iPhoneiPad设备构建移动应用程序。此版本包含对 iOS SDK  Swift 支持的增量更新。新的和更新的规则扩展了 iOS SDK 15  16  Swift iOS  iPadOS 应用程序中基础框架的 API 覆盖范围。这些更新改进了许多现有弱点类别的问题检测,包括:

  • Insecure SSL: Overly     Broad Certificate Trust

  • Insecure Transport: Weak     SSL Protocol

  • Privacy Violation

  • Resource Injection

  • System Information Leak

Salesforce Apex  Visualforce Updates(支持的版本:v55[2]

Salesforce Apex是用于创建Salesforce应用程序(如业务事务,数据库管理,Web服务和Visualforce页面)的编程语言。此更新改进了我们对数据库操作、SOAP Web 服务、REST Web 服务、核心 Apex 系统 API、加密 API  Visualforce 页面组件的支持。Apex 新支持的类别包括:

  • Cookie Security: Cookie not Sent Over SSL

  • Cookie Security: Missing SameSite Attribute

  • Cookie Security: Overly Broad Path

  • Cookie Security: Overly Permissive SameSite     Attribute

  • Cookie Security: Persistent Cookie

  • Header Manipulation

  • Header Manipulation: Cookies

  • Insecure Transport

  • Key Management: Hardcoded Encryption Key

  • Log Forging (debug)

  • Open Redirect

  • Password Management: Empty Password

  • Password Management: Hardcoded Password

  • Path Manipulation

  • Privacy Violation

  • Server-Side Request Forgery

  • System Information Leak: External

  • System Information Leak: Internal

  • Weak Cryptographic Hash

  • Weak Encryption: Insecure Initialization Vector

此外,还对以下受支持的类别进行了其他改进:

  • Cross-Site Scripting: Persistent

  • Cross-Site Scripting: Poor Validation

  • Cross-Site Scripting: Reflected

秘密扫描改进

机密扫描是在各种源代码和配置文件中查找机密的概念。SSR 已经支持多种类型的密钥,SCA 将密钥扫描规则应用于所有文件类型,从而允许查找特定的密钥,而不管代码语言如何。支持已扩展为涵盖以下机密:

  • 凭据管理:硬编码的 API 凭据,用于硬编码的持有者令牌

  • 密码管理:硬编码密码,用于 SQL Server 连接字符串中的硬编码密码

  • 密码管理:注释中的密码,用于 XML 注释中的密码[3]

谷歌Guava初始覆盖率(支持的版本:v31.1)。

Guava是一组来自GoogleJava库,其中包括新的集合类型(例如multimapmultiset),不可变集合,图形库以及用于并发,I / O,哈希缓存,原语,字符串等的实用程序。它被广泛用于谷歌和其他公司的Java项目中。支持的类别包括:

  • 空取消引用

  • 路径操作

  • 侵犯隐私

  • 设置操作

  • 系统信息泄露

  • 未释放的资源

  • 不安全反射

  • 弱加密哈希

  • 弱加密哈希:用户控制的最小位

  • 弱加密哈希:用户控制的种子

  • 弱加密

Hot Chocolate初始覆盖(支持的版本:12.15.2

Hot Chocolate 是一个建立在 Microsoft .NET 平台之上的开源 GraphQL 服务器。Hot Chocolate 使开发人员能够为其应用程序快速创建和部署基于 GraphQL  API。此版本增加了对热巧克力的初始支持,包括检测使用热巧克力开发的 GraphQL API 中的以下弱点类别:

  • 跨站点脚本:组件间通信(云)

  • 跨站点脚本:持久

  • 跨站点脚本:验证不佳

  • 跨站点脚本:反射

  • GraphQL 不良实践:启用内省

  • 侵犯隐私

  • 系统信息泄露:外部

  • 信任边界冲突

适用于 Java  gRPC 扩展和适用于 Python 的初始覆盖(支持的版本:1.49.1

Google Remote Procedure Call gRPC是一个多环境和多语言的现代开源高性能 RPC 框架。gRPC 将服务与负载均衡、跟踪和身份验证的支持联系起来。与传统的 JSON-over-HTTP 不同,gRPC 基于 HTTP2,通常对消息使用二进制协议缓冲区protobuf格式。

 Java gRPC 的支持已扩展为涵盖以下其他类别:

  • 访问控制:gRPC 身份验证绕过

  • 不安全的 SSL:过于广泛的证书信任

  • 日志伪造

  • 设置操作

  • Unreleased Resource: Streams

已建立对 Python gRPC 的支持,以涵盖以下类别:

  • 不安全的传输

  • 不安全的传输:gRPC 通道凭据

  • 不安全的传输:gRPC 服务器凭据

  • 侵犯隐私

  • 系统信息泄露:外部

云基础架构即代码IaC

IaC 是通过代码而不是各种手动过程来管理和预配计算机资源的过程。改进的支持包括用于部署到 AWSAzure  GCP  Terraform 配置。与这些服务的配置相关的常见问题现在报告给开发人员。

Amazon AWS Terraform Configurations
Terraform 是一种开源基础设施即代码工具,用于构建、更改云基础设施和对其进行版本控制。它使用自己的声明性语言,称为HashiCorp配置语言(HCL)。云基础架构在配置文件中编码,以描述所需状态。Terraform 提供商支持 Amazon Web Services AWS基础设施的配置和管理。在此版本中,我们报告了 Terraform 配置的以下类别:

  • AWS Terraform 配置错误:Amazon API Gateway 可公开访问

  • AWS Terraform 配置错误:Amazon EBS 不安全存储

  • AWS Terraform 配置错误:Amazon ElastiCache 不安全传输

  • AWS Terraform 配置错误:Amazon MQ 可公开访问

  • AWS Terraform 配置错误:Amazon Neptune 可公开访问

  • AWS Terraform 配置错误:Amazon RDS 不安全存储

  • AWS Terraform 配置错误:Amazon RDS 代理不安全传输

  • AWS Terraform 配置错误:Amazon RDS 可公开访问

  • AWS Terraform 配置错误:Amazon Redshift 可公开访问

  • AWS Terraform 配置错误:Amazon SNS 不安全存储

Microsoft Azure Terraform Configurations
Terraform 是一个开源基础架构即代码工具,用于构建、更改和版本控制云基础架构。它使用自己的声明性语言,称为HashiCorp配置语言(HCL)。云基础架构在配置文件中编码,以描述所需状态。Terraform 提供程序支持 Microsoft Azure 基础结构的配置和管理。在此版本中,我们报告了 Terraform 配置的以下类别: 

  • Azure Terraform 不良做法:AKS 群集缺少基于主机的加密

  • Azure Terraform 不良做法:Azure 磁盘快照缺少客户管理的密钥

  • Azure Terraform Bad Practices Azure     MySQL Server 缺少基础结构加密

  • Azure Terraform Bad Practices Azure     PostgreSQL Server Missing Infrastructure Encryption

  • Azure Terraform 不良做法:容器注册表缺少客户管理的密钥

  • Azure Terraform 不良做法:Cosmos DB 缺少客户管理的密钥

  • Azure Terraform 不良做法:缺少 Azure 存储基础结构加密

  • Azure Terraform 不良做法:缺少 SQL 数据库备份加密

  • Azure Terraform 不良做法:规模集缺少基于主机的加密

  • Azure Terraform 不良做法:共享映像缺少客户管理的密钥

  • Azure Terraform 不良做法:SQL 数据库缺少客户管理的密钥

  • Azure Terraform 不良做法:存储帐户缺少客户管理的密钥

  • Azure Terraform 不良做法:存储加密范围缺少客户管理的密钥

  • Azure Terraform 不良做法:VM 缺少基于主机的加密

  • Azure Terraform 配置错误:AKS 群集缺少客户管理的密钥

  • Azure Terraform 配置错误:托管磁盘缺少客户管理的密钥

  • Azure Terraform 配置错误:缺少 SQL 数据库加密

  • Azure Terraform 配置错误:VM 存储缺少客户管理的密钥

Google Cloud Platform GCP Terraform 配置
Terraform 是一个开源基础架构即代码工具,用于构建、更改和版本控制云基础架构。它使用自己的声明性语言,称为HashiCorp配置语言(HCL)。云基础架构在配置文件中编码,以描述所需状态。Terraform 提供商支持 Google Cloud Platform 基础架构的配置和管理。在此版本中,我们报告了 Google Cloud Platform Terraform 配置的以下弱点类别:

  • GCP Terraform 不良做法:Apigee 缺少客户管理的加密密钥

  • GCP Terraform 不良做法:BigQuery 缺少客户管理的加密密钥

  • GCP Terraform 不良做法:云大表缺少客户管理的加密密钥

  • GCP Terraform 不良做法:云函数缺少客户管理的加密密钥

  • GCP Terraform 不良做法:云扳手缺少客户管理的加密密钥

  • GCP Terraform 不良做法:文件存储缺少客户管理的加密密钥

  • GCP Terraform 不良做法:发布/订阅缺少客户管理的加密密钥

  • GCP Terraform 不良做法:机密管理器缺少客户管理的加密密钥

  • GCP 地形配置错误:计算引擎缺少机密计算功能

  • GCP 地形配置错误:边缘缓存服务缺少 HTTP  HTTPS     重定向

  • GCP 地形配置错误:不安全的应用引擎域传输

  • GCP 地形配置错误:不安全的应用引擎传输

  • GCP 地形配置错误:不安全的云函数 HTTP 触发器传输

  • GCP 地形配置错误:不安全的边缘缓存服务传输

  • 基仕伯地形配置错误:供应链不安全

  • GCP 地形配置错误:URL 映射缺少 HTTP  HTTPS 重定向

其他勘误表

在此版本中,已投入资源来确保我们可以减少误报问题的数量,重构一致性,并提高客户审核问题的能力。客户还可以期望看到与以下内容相关的报告问题的变化:

弃用 19.x 之前的Fortify sca版本:

如我们的 2022.3 版本公告中所述,这是支持 19.x 之前的 Fortify 静态代码分析器版本的规则包的最后一个版本。对于此版本,19.x 之前的 Fortify 静态代码分析器版本将不会加载 2022.4 规则包。这将需要降级规则包或将静态代码分析器升级到版本 19.x 或更高版本。对于未来的版本,我们将继续支持 Fortify 静态代码分析器的最后四个主要版本。

重构弱点类别的强化优先级顺序元数据

由于我们的用户能够有效地修复问题非常重要,因此我们一直在研究机制,以便在强化优先级顺序模型中更客观地确定问题的分类。作为 2022 R3 发布公告中提到的这项工作的一部分,我们已经开始审查所有规则涵盖的类别,并确定了一些需要更新的领域。以下 96 个类别的关联 Fortify 优先级顺序元数据已更改,因此您可能会看到问题出现在相同或更低严重性存储桶中(例如,严重、高、中、低)。现有筛选器可能会导致由于强化优先级顺序值及其各个组件的更改而隐藏其他问题。

  • Android Bad Practices: Encryption Secret Held in     Static Field

  • Android Bad Practices: Use of Released Camera     Resource

  • Android Bad Practices: Use of Released Media     Resource

  • Android Bad Practices: Use of Released SQLite     Resource

  • NET Bad Practices: Non-Serializable Object Stored in     Session

  • Buffer Overflow

  • Buffer Overflow: Signed Comparison

  • Code Correctness: Arithmetic Operation on Boolean

  • Code Correctness: Function Not Invoked

  • Code Correctness: Incorrect Serializable Method     Signature

  • Code Correctness: Memory Free on Stack Variable

  • Code Correctness: Negative Content-Length

  • Code Correctness: Premature Thread Termination

  • Code Correctness: readObject() Invokes Overridable     Function

  • Code Correctness: Readonly Collection Reference

  • ColdFusion Bad Practices: Unauthorized Include

  • Cookie Security: Cookie not Sent Over SSL

  • Cross-Site Scripting: Handlebars Helper

  • Cross-Site Scripting: Inter-Component Communication

  • Cross-Site Scripting: Inter-Component Communication     (Cloud)

  • Cross-Site Scripting: Persistent

  • Cross-Site Scripting: Reflected

  • Cross-Site Scripting: Untrusted HTML Downloads

  • Dangerous Method

  • Denial of Service

  • Denial of Service: Parse Double

  • Denial of Service: Regular Expression

  • Denial of Service: Stack Exhaustion

  • Denial of Service: StringBuilder

  • Double Free

  • Dynamic Code Evaluation: Code Injection

  • Dynamic Code Evaluation: Script Injection

  • File Disclosure: Django

  • File Disclosure: J2EE

  • File Disclosure: Spring

  • File Disclosure: Spring Webflow

  • File Disclosure: Struts

  • Format String: Argument Number Mismatch

  • Header Manipulation: Cookies

  • Header Manipulation: SMTP

  • J2EE Bad Practices: Non-Serializable Object Stored     in Session

  • Log Forging

  • Null Dereference[4]

  • Often Misused: Authentication

  • Often Misused: Boolean.getBoolean()

  • Path Manipulation: Base Path Overwriting

  • Path Manipulation: Zip Entry Overwrite

  • Portability Flaw: File Separator

  • Portability Flaw: Locale Dependent Comparison

  • Privacy Violation

  • Privacy Violation: Android Internal Storage

  • Privacy Violation: BREACH

  • Privacy Violation: Heap Inspection

  • Privacy Violation: HTTP GET

  • Privacy Violation: Image

  • Privacy Violation: Keyboard Caching

  • Privacy Violation: Screen Caching

  • Privacy Violation: Sensitive Data Accessible From     iTunes

  • Privacy Violation: Shoulder Surfing

  • Privacy Violation: Unobfuscated Logging

  • Privilege Management: Android Disable

  • Privilege Management: Missing API Permission

  • Privilege Management: Missing Content Provider     Permission

  • Privilege Management: Missing Intent Permission

  • Process Control

  • Query String Injection: Android Provider

  • Race Condition: PHP Design Flaw

  • Race Condition: Singleton Member Field

  • Race Condition: Static Database Connection

  • SOQL Injection

  • SOSL Injection

  • System Information Leak: Overly Broad SQL Logging

  • System Information Leak: PHP Errors

  • System Information Leak: PHP Version

  • Unreleased Resource: Cursor Snarfing

  • Unsafe JNI

  • Unsafe JSNI

  • Unsafe Mobile Code: Access Violation

  • Unsafe Mobile Code: Database Access

  • Unsafe Native Invoke

  • Use After Free

  • Weak Encryption: Insecure Initialization Vector

  • Weak Encryption: Insecure Mode of Operation

  • Weak Encryption: Insufficient Key Size

  • Weak Encryption: Missing Required Step

  • Weak Encryption: User-Controlled Key Size

  • Weak XML Schema: Lax Processing

  • Weak XML Schema: Type Any

  • Weak XML Schema: Unbounded Occurrences

  • Weak XML Schema: Undefined Namespace

React不良做法:危险地设置 InnerHTML

 React 应用程序中使用“dangerouslySetInnerHTML”现在被标记为不良做法。

误报改进

工作仍在继续,以消除此版本中的误报。除了其他改进之外,客户还可以期望在以下方面进一步消除误报:

  • 访问控制:数据库 – 当输入来自另一个数据库调用时,在 Apex 中删除了问题

  • NET MVC 不良做法:具有必需的不可为空属性的模型 – 使用强制数据的某些特征的属性时,误报减少

  • Dockerfile 配置错误:依赖关系混淆 – 通过从头开始扩展,将创建映像时的误报减少到最低限度

  • GraphQL 不良实践:启用自检 – 注册基于类的 Flask 视图时,Flask 应用程序中的误报减少

  • 动态代码评估:JNDI 引用注入 –  Spring 引导项目将 'log4j2.version' Maven 属性设置为不受 Log4Shell 影响的版本时,误报会减少

  • 内存泄漏 – 使用 std::unique_ptr 时误报减少

  • 批量分配:不安全的绑定程序配置 –      JSONConverter 注释与 DataContractDataMember      IgnoreDataMember 一起使用时,误报减少

  • 侵犯隐私 –  .NET 中减少枚举值的误报

  • SQL 注入 –  MyBatis 查询注释中使用包含“$.”的预准备语句时,误报减少

  • 未释放的资源 – 在集合中捆绑资源时,C/C++ 扫描中的误报减少

PHP 配置错误:删除了magic_quotes类别

以下三个弱点类别已被删除,因为它们在受支持的 PHP 版本中不再相关:

  • PHP 配置错误:已启用magic_quotes_gpc

  • PHP 配置错误:magic_quotes_runtime已启用

  • PHP 配置错误:已启用magic_quotes_sybase

因此,上述类别中的所有问题都将从扫描结果中删除。

类别更改

除了误报删除外,我们还确定了一些应该统一类别或被错误标记的地方。当弱点类别名称发生更改时,将以前的扫描与新扫描合并时的扫描结果将导致添加/删除以下类别的问题。

已删除的类别

已添加类别

代码正确性:类不实现等于

代码正确性:类未实现等效方法

代码正确性:类不实现等于

代码正确性:类未实现等效方法

代码正确性:数组上的字符串

代码正确性:在 Arr ay  ToString

代码正确性:空参数等于()

代码正确性:空参数到等价方法

代码正确性:等于()的空参数

代码正确性:空参数到等价方法 

此外,我们最近的 IaC 支持中的以下 24 个类别已经过重构,以提高一致性。

已删除的类别

已添加类别

访问控制:Azure 容器注册表

Azure ARM 配置错误:不正确的容器注册表网络访问控制

访问控制:Azure SQL 数据库

Azure ARM 配置错误:不正确的 SQL Server 网络访问控制

访问控制:宇宙数据库

Azure ARM 配置错误:不正确的文档数据库网络访问控制

访问控制:Kubernetes 准入控制器

Kubernetes 不良做法:不正确的准入控制器访问控制

访问控制:Kubernetes 映像授权绕过

Kubernetes 配置错误:映像授权绕过

Ansible 不良做法:未指定 CloudWatch 日志组保留

AWS Ansible 配置错误:CloudWatch 日志记录不足

Ansible 不良做法:红移可公开访问

AWS Ansible 配置错误:红移网络访问控制不当

Ansible 不良做法:不受限制的 AWS Lambda 委托人

AWS Ansible 配置错误:不正确的 Lambda 访问控制策略

Ansible 不良做法:用户绑定的 AWS IAM 策略

AWS Ansible 不良做法:不正确的 IAM 访问控制策略

Ansible 配置错误:Azure 监视器缺少管理事件

Azure Ansible 配置错误:Azure Monitor 日志记录不足

Azure 资源管理器不良做法:跨租户复制

Azure ARM 配置错误:存储帐户网络访问控制不正确

Azure 资源管理器不良做法:已启用远程调试

Azure ARM 配置错误:不正确的应用服务访问控制

Azure 资源管理器不良做法:SSH 密码身份验证

Azure ARM 配置错误:不正确的计算 VM 访问控制

Azure 资源管理器配置错误:不安全的传输

Azure ARM 配置错误:不安全的应用服务传输

Azure 资源管理器配置错误:过于宽松的 CORS 策略

Azure ARM 配置错误:不正确的 CORS 策略

Azure 资源管理器配置错误:安全警报已禁用

Azure ARM 配置错误:Microsoft Defender 监控不足

Azure SQL 数据库配置错误:日志记录不足

Azure ARM 配置错误:SQL Server 监控不足

不安全的存储:缺少 EC2 AMI 加密

AWS CloudFormation 配置错误:不安全的 EC2 AMI 存储

不安全的存储:缺少 EFS 加密

AWS CloudFormation 配置错误:不安全的 EFS 存储

不安全的存储:缺少 Kinesis 流加密

AWS CloudFormation 配置错误:不安全的 Kinesis 数据流存储

不安全的传输:Azure 应用服务

Azure Ansible 配置错误:不安全的应用服务传输

Kubernetes 不良做法:API 服务器可公开访问

Azure ARM 配置错误:不正确的 AKS 网络访问控制

隐私侵犯:公开的默认值

Azure ARM 配置错误:硬编码机密

权限管理:过于宽松的角色

Azure ARM 配置错误:不正确的自定义角色访问控制策略

Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 将针对数千个漏洞的检查与策略相结合,这些策略可指导用户通过 SmartUpdate 立即提供以下更新:

漏洞支持

服务器端请求伪造[5]

当攻击者可以影响应用程序服务器建立的网络连接时,就会发生服务器端请求伪造SSRF)。网络连接将源自应用程序服务器的内部 IP,攻击者可以使用此连接绕过网络控制并扫描或攻击未以其他方式公开的内部资源。此版本包括一项检查,用于检测接受用户输入的 Web 应用程序中的 SSRF 漏洞。

表达式语言注入

CVE-2022-42889 已发现流行的 Apache 共享资源文本库版本 1.5  1.9 中存在一个严重的远程执行代码漏洞。默认配置可能允许不安全的脚本计算和任意代码执行。此版本包括一项检查,用于检测目标 Web 服务器上的 CVE-2022-42889 漏洞。由于此检查会发送大量请求,因此它被排除在标准策略之外。使用所有检查策略,自定义现有策略以包含检查,或创建自定义策略以运行此检查。

不安全的传输:弱 SSL 密码

传输层安全性TLS和安全套接字层SSL协议提供了一种机制来帮助保护客户端和 Web 服务器之间传输的数据的真实性、机密性和完整性。例如,使用弱密码或长度不足的加密密钥可以使攻击者破坏保护机制并窃取或修改敏感信息。此版本包括由 ID 11285 标识的新检查,用于标记严重严重的传输层保护不足 - 不安全的密码漏洞。不安全的密码套件具有多个已知漏洞,并且具有微不足道的攻击。

其他勘误表

在此版本中,我们投入了资源来进一步减少误报的数量,并提高客户审核问题的能力。客户还可以期望看到与以下内容相关的报告结果的变化:

不安全的传输:弱 SSL 密码

此版本包括对传输层保护不足 – 弱密码检查11716的改进。客户应该看到此检查的严重性从严重降低到高,因为针对这些弱密码的攻击非常复杂,需要大量资源。此检查的严重性降低,并且引入的新检查以识别传输层保护不足 - 密码不安全将标记严重性问题。今后,建议的密码将不包括没有完全前向保密PFS的密码套件。

XML 外部实体注入[6]

ID 11337 标识的检查已修改为使用支持带外应用程序安全测试OAST功能的有效负载。对此检查的改进可减少误报、提高效率并提高其结果的准确性。

Fortify优质内容

研究团队在我们的核心安全智能产品之外构建、扩展和维护各种资源。

Fortify分类法:软件安全错误

Fortify 分类网站包含新添加的类别支持的说明,可在 https://vulncat.fortify.com 上找到。寻找具有上次受支持更新的旧站点的客户可以从 Fortify 支持门户获取它。

[1] iOS SDK 16 的新规则需要 Fortify Static Code Analyzer 22.2 或更高版本。
[2] 需要Fortify SCA 22.2 或更高版本。
[3] 需要Fortify SCA 22.2 或更高版本。
[4] 空取消引用更改仅适用于 Java  .NET
[5] 需要 WebInspect 21.2.0.117 修补程序或更高版本中可用的 OAST 功能。
[6] 需要 WebInspect 21.2.0.117 修补程序或更高版本中可用的 OAST 功能。

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月19日13:14:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Fortify软件安全内容 2022 更新 4http://cn-sec.com/archives/1472566.html