Fortify Software Security Research (SSR) 很高兴地宣布立即提供 Fortify Secure Coding Rulepacks（英语，版本 2021.3.0）、Fortify WebInspect SecureBase（通过 SmartUpdate 提供）和 Fortify Premium Content 的更新。

CyberRes Fortify 安全编码规则包 [SCA]

在此版本中，Fortify 安全编码规则包可检测 27 种编程语言中的 831 种独特的漏洞类别，涵盖超过 100 万个单独的 API。总之，此版本包括以下内容：

Golang 标准库更新（版本：1.16）

扩展了对 Go 标准库的支持。Go 是一种由 Google 设计的静态类型开源语言，旨在使构建简单、可靠和高效的软件变得容易。Go 在语法上与 C 相似，但具有内存安全机制、垃圾收集和结构类型。此更新涵盖标准库命名空间，添加了对以下新类别的支持：

• Cookie 安全性：缺少 SameSite 属性

• Cookie 安全性：过于宽松的 SameSite 属性

• 错误做法：剩余的调试代码

• 不安全的随机性：硬编码种子

• 不安全的随机性：用户控制的种子

• 不安全传输：密码套件降级

• 不安全的传输：弱 SSL 协议

• 经常被误用：权限管理

• 弱加密签名

Android 11 更新（API 级别：30）

Android 平台是专为移动设备设计的开源软件堆栈。Android 的一个主要组件是 Java API 框架，它向应用程序开发人员公开 Android 功能。此版本扩展了在利用 Android 的 Java API 框架的 Java 或 Kotlin 编写的原生 Android 应用程序中的漏洞检测。用户应该期望从 Android 应用程序建模和 API 覆盖率的更新中获得改进的结果。此版本还包括以下新的权限管理弱点类别，为危险的 Android 权限提供指导：

• 权限管理：Android Activity 识别

• 权限管理：Android 日历

• 权限管理：Android 通话记录

• 权限管理：安卓相机

• 权限管理：Android 通讯录

• 权限管理：安卓麦克风

• 权限管理：Android 传感器

iOS 标准库更新（版本：iOS 14）

此版本更新了我们对 Swift 和 Objective-C 的 iOS 14 库 API 的支持。更新集中在以下框架上：

• 用户界面工具包

• 用户通知

• 用户界面

• 消息界面

用户应该会看到不安全 IPC、链接注入、路径操纵、隐私侵犯、肩部冲浪和系统信息泄漏类别的改进。

Micro Focus Visual COBOL 更新（版本：7.0）

扩展了对 Micro Focus Visual COBOL 版本 7 的支持，以添加对以下两个弱点类别的支持：

• 整数溢出

• 竞争条件：文件系统访问

SAPUI5/OpenUI5 支持[1]  (Version: 1.93)

SAPUI5 是一个客户端 JavaScript 框架，由 SAP 创建，它与开源的 OpenUI5 共享一组核心控件库。此版本为识别以下类别的漏洞提供初步支持：

• 跨站脚本：DOM

• 跨站脚本：SAPUI5 控制

• 跨站脚本：自我

• 隐私侵犯

• SAPUI5 错误配置：未经消毒的编辑器

• 系统信息泄漏：外部

 JSON 支持[2]

JavaScript Object Notation (JSON) 是一种轻量级的数据交换格式。此版本为识别以下类别的 JSON 漏洞提供了改进的支持：

• 密码管理：空密码

• 密码管理：硬编码密码

• 密码管理：空密码

• 密码管理：评论中的密码[3]

Kotlin 标准库更新（版本：1.4.30）

Kotlin 是一种通用的静态类型语言，具有 Java 互操作性。此版本包括对 Kotlin 1.4 中针对 Java 虚拟机 (JVM) 引入的新标准库 API 的更新支持。

ECMAScript 2021（版本：ECMA-262）

支持 ECMAScript 2021 中引入的新 API。ECMAScript 是一种通用编程语言，由 ECMAScript 语言规范定义，以集成到所有现代 Web 浏览器而闻名。但是，它越来越普遍地用于构建 Web 服务器、移动应用程序和其他类型的传统应用程序。在扫描针对最新 ECMAScript 标准的应用程序时，客户应该期待改进的数据流。

2021 年常见弱点枚举 (CWE TM ) 前 25 名

Common Weakness Enumeration (CWE TM ) Top 25 Most Dangerous Software Weaknesses (CWE Top 25) 于 2019 年推出，取代了 SANS Top 25。7 月发布，2021 CWE Top 25 是使用启发式公式确定的，该公式将频率和严重性标准化过去两年向国家漏洞数据库 (NVD) 报告的漏洞数量。为了支持希望围绕 NVD 中最常报告的关键漏洞优先审核的客户，添加了 CyberRes Fortify 分类法与 2021 CWE 前 25 名的相关性。

杂项勘误

在此版本中，我们继续投入资源以确保我们可以减少误报问题的数量并提高客户审核问题的能力。客户还可以看到与以下相关的报告问题的变化：

弃用 18.x 之前的 SCA 版本：

正如在 2020.4 版本中所观察到的那样，我们将继续支持 SCA 的最后四个主要版本。因此，这将是支持 18.x 之前的 SCA 版本的规则包的最后一个版本。对于下一个版本，18.x 之前的 SCA 版本将不会加载最新的规则包。这将需要降级规则包或升级 SCA 的版本。

对于未来的版本，我们将继续支持 SCA 的最后四个主要版本。

Java J2EE 改进：

改进了对隐私违规和系统信息泄漏类别中的 javax.servlet API 的支持。    

Android绑定服务：

凭借我们对 Android 的持续支持，此版本涵盖了 Android 绑定服务。客户可能会遇到源自 Android 绑定服务方法参数的新数据流问题。当在绑定服务中调用方法时，这可能会引入重复的数据流子跟踪。

Node.js 中的弱加密哈希：

确定 Node.js 应用程序中弱加密哈希的使用。

OWASP ASVS 4.0 映射现在包含对级别的支持

为了支持希望能够查询违反特定 OWASP 应用程序安全验证标准 (ASVS) 应用程序安全验证级别（L1、L2 和 L3）的报告问题的客户，最新的安全内容已将这些级别添加到映射名称中。客户现在可以在OWASP ASVS 4.0分组中搜索相关的L1、L2和L3关键字，以及设计相关的过滤器集和过滤器模板，以便在 AuditWorkbench 和软件安全中心 (SSC) 中使用。      

误报改进：

此版本中继续消除误报的工作。除了其他改进之外，客户还可以期待在以下领域进一步消除误报：

•  jQuery 代码中的跨站点脚本误报

• 隐私侵犯： 使用 JsonIgnore 属性的 .NET 应用程序中的肩部冲浪

• 在只能控制一个数字的路径操纵问题上降低 Fortify Priority Order 的一致性更高  

• 当密码是枚举的一部分时，我们不再识别 Swift 中的密码

•  .NET 中缺少 XML 验证问题

•  在 Java 项目中缺少针对 Null 的检查

[1] 使用 SCA v21.2.0 或更高版本时预期会得到改进的结果。
[2] 需要 SCA v21.1.0 和标志：'-Dcom.fortify.sca.use.json-analyzer=true'。
[3] 需要 SCA v21.2.0 或更高版本。从 SCA v21.2.0 开始不需要标志。

CyberRes Fortify SecureBase [Fortify WebInspect]

Fortify SecureBase 将针对数千个漏洞的检查与指导用户通过 SmartUpdate 立即获得以下更新的策略相结合：

漏洞支持

不安全部署：HTTP 请求走私

HTTP2 over clear text smuggling，或 h2c smuggling，是传统 HTTP 请求走私的替代方案，它滥用 h2c-unaware 前端（例如代理服务器）来创建通往后端系统的隧道。攻击者可以使用此隧道向后端服务器走私额外的请求，而不会被前端服务器检测到。这可以使攻击者能够绕过前端的授权控制并访问后端系统上的受限资源。此版本包括检测可用于 h2c 走私攻击的配置的检查。

访问控制：缺少授权检查

GraphQL 自省使服务器能够查询以获取有关底层架构的信息。自省提供有关查询、类型和字段等元素的详细信息。GraphQL 自省通常默认启用。未经适当授权的攻击者可能会滥用此信息进行 SQL 注入和批处理攻击等攻击。此版本包括检测启用了自省的 GraphQL 端点的检查。

NoSQL 注入：MongoDB

NoSQL 脚本注入漏洞允许攻击者在数据库中注入恶意查询。MongoDB 是 NoSQL 数据库之一，其文档说明它允许应用程序运行 JavaScript 操作。NoSQL 注入非常危险，因为未经身份验证的攻击者可以提取数据或执行 JavaScript 代码。这可能导致远程代码执行、机密性、应用程序数据完整性和拒绝服务 (DoS) 攻击。此版本包括检测 MongoDB 中 NoSQL 脚本注入的检查。

动态代码评估：不安全的反序列化

7.0 之前的 ForgeRock AM 服务器和 14.6.4 之前的 OpenAM 服务器中的预授权不安全 Java 反序列化漏洞已被 CVE-2021-35464 识别。此漏洞允许攻击者在 jato.pageSession 参数中制作恶意序列化对象，并通过单个请求将其发送到端点“/ccversion/Version”。该漏洞的存在是由于应用程序中使用了不安全的第三方 Java 库。此问题通常允许攻击者在服务器上执行任意代码、滥用应用程序逻辑或拒绝服务 (DoS) 攻击。此版本包括一项检查以检测目标 Web 服务器上的此漏洞。

跨站脚本：DOM [1]

当动态生成的网页显示未正确验证的用户输入（例如登录信息）时，会发生跨站点脚本，从而允许攻击者将恶意脚本嵌入生成的页面中，然后在查看该页面的任何用户的计算机上执行该脚本。地点。在基于文档对象模型 (DOM) 的 XSS 的情况下，恶意内容作为 DOM 操作的一部分执行。如果成功，DOM 跨站点脚本漏洞可被利用来操纵或窃取 cookie、创建可能被误认为是有效用户的请求、破坏机密信息或在最终用户系统上执行恶意代码。此版本包含一项新检查，用于检测客户端 URI 片段上的 DOM XSS。

Web 服务器配置错误：不安全的映射指令

将 Nginx 配置为在 Web 服务器上执行 PHP 有时会提倡将每个以 .php 结尾的 URI 传递给后端 PHP 解释器（例如 FastCGI）。如果请求的完整路径没有指向实际存在的文件，具有这种不安全 PHP 配置的 Nginx 会将 URL 路径中的文件夹视为要执行的目标文件。这种错误配置允许攻击者在任何类型的文件（例如图像文件）中执行任意 PHP 代码，前提是它可以上传到 Web 服务器并被访问。此版本包括一项检查以检测目标 Web 服务器上的此漏洞。

整数溢出

从 0.5.6 到 1.13.2 的 Nginx 版本容易受到由 CVE-2017-7529 识别的整数溢出漏洞的攻击。此问题存在于 Nginx 范围过滤器模块中，允许攻击者通过发送特制请求来获取潜在的敏感信息。此版本包括检测目标 Web 服务器上的 CVE-2017-7529 漏洞的检查。

合规报告

2021 年常见弱点枚举 (CWE TM ) 前 25 名

Common Weakness Enumeration (CWE TM ) Top 25 Most Dangerous Software Weaknesses (CWE Top 25) 于 2019 年推出并取代了 SANS Top 25。7 月发布，2021 CWE Top 25 是使用启发式公式确定的，该公式将频率和严重性标准化过去两年向国家漏洞数据库 (NVD) 报告的漏洞数量。此 SecureBase 更新包括到这些 CWE 类别的映射。此 SecureBase 更新包括直接映射到 CWE 前 25 名识别的类别或通过“ChildOf”关系与前 25 名中的 CWE-ID 相关的 CWE-ID 的检查。

政策更新

2021 年 CWE 前 25 名

WebInspect SecureBase 支持策略列表中添加了自定义策略以包含与 CWE Top 25 2021 相关的检查。

杂项勘误

在此版本中，我们继续投入资源以确保我们可以减少误报问题的数量并提高客户审核问题的能力。客户还可以看到与以下相关的报告问题的变化：

LDAP 注入

此版本包括对 LDAP 注入检查的改进，以减少误报并提高其结果的准确性。

CyberRes Fortify 高级内容

研究团队构建、扩展和维护我们核心安全情报产品之外的各种资源。

 2021 年 CWE 前 25 名

为了伴随新的关联，此版本还包含一个新的 Fortify 软件安全中心报告包，支持 2021 CWE Top 25，可从 Fortify 客户支持门户的高级内容下下载。

CyberRes Fortify 分类法：软件安全错误

Fortify Taxonomy 站点包含对新添加的类别支持的描述，可从https://vulncat.fortify.com 获得。寻找具有最新支持更新的旧站点的客户可以从 CyberRes Fortify 支持门户获得它。 

[1] 需要WI v21.2.0或更高版本。

关于苏州华克斯信息科技有限公司

联系方式：400-028-4008

                0512-62382981

专业的测试及安全产品服务提供商

Fortify | Webinspect | AppScan | SonarQube 

LoadRunner | UFT（QTP) | ALM（QC）| Nessus 

Micro Focus （原HPE）铂金合作伙伴

SonarQube中国总代理

HCL中国合作伙伴

极狐GiLab铂金级合作伙伴