產品特寫

面對近期安全性通報,Fortify WebInspect 怎麼做?

更新於

目前 Micro Focus Fortify 軟體安全性內容已能夠跨 27 種以上的程式設計語言,並支援 1032 個弱點類別,且涵蓋 100 多萬個單獨 API。而 Fortify WebInspect 的數千個弱點的檢查透過 SmartUpdate 機制,即可立即取得最新弱點檢查,並與引導使用者的原則結合在一起。

快來看看 Fortify WebInspect 在版本更新後,是如何應對以下 9 種安全性通報!

Fortify WebInspect 弱點支援:

一、弱式密碼編譯簽章:使用者控制的金鑰來源

Key Confusion 攻擊會威脅 JSON Web 權杖(JWT)的完整性。如果 JWT 實作未慎選金鑰來源以驗證從用戶端接收的權杖,攻擊者便能趁機偽造權杖有效承載,導致 JWT 實作容易遭受這些攻擊。

新版本包括一項檢查,可用來評估使用 JWT 對 key confusion 攻擊的效果。

二、JSON Web Token :Missing Protection Claims

未實作保護宣告(例如:「jti」、「exp」、「aud」)的 JSON Web 權杖可能容易遭受模擬和重新執行攻擊。

新版本包括多項檢查,可用來偵測掃描過程中遇到的權杖是否缺少這些宣告。

三、Access control :Authorization Bypass

JSON Web 權杖(JWT)提供防止資料遭到篡改的機制,因為其包含的資訊會使用 HMAC 或 RSA 演算法進行數位簽署。簽名驗證失敗的應用程式可能容易遭受未經授權的存取和模擬攻擊。

新版本新增多項檢查,可用來評估 JWT 實作是否存在遺失和任意簽名攻擊。

四、OAuth2 :Insufficient state Parameter Entropy

若 OAuth2 通訊協定未使用具有足夠複雜度(entropy)的「state」參數值時,便容易遭受模擬攻擊。

新版本新增可檢查及評估 state 參數是否無法滿足足夠複雜度的要求。

五、OAuth2 :Insufficient Refresh Token Revocation

在重新發出新的存取權杖之前,未驗證用戶端 ID、用戶端密碼和更新權杖到期的授權伺服器,可能容易遭受模擬攻擊。

新版本新增可用來偵測是否可使用更新權杖來產生多個存取權杖,而無需用戶端 ID 和用戶端密碼。

六、OAuth2 :Insufficient Authorization Code Expiration

若 OAuth2 授權伺服器未能及時使授權碼到期,便可能受到模擬攻擊,因為它們可能繼續為被盜的授權碼授予新的有效存取權杖。

新版本新增檢查,可用來偵測授權碼濫用。

七、Cross-Site Request Forgery

無法在 OAuth2 授權流程中使用「state」參數的應用程式,很容易遭受模仿用戶端的未經授權操作。此外,將 Cookie 儲存用於 JSON Web 權杖(JWT)的應用程式也會面臨類似 CSRF 攻擊的風險。

新版本包含多項相關檢查,可用於偵測容易遭受 CSRF 攻擊的 JWT 和 OAuth2 執行個體。

八、弱式密碼編譯簽章 :金鑰大小不足

JSON Web 權杖包含數位簽署的資訊,用以證明承載的完整性。如 HS256 之類具有弱式密碼的對稱式演算法可能會被暴力破解,進而讓攻擊者可以產生任意承載,並使用有效金鑰對其進行簽署。

新版本新增相關檢查,可用來偵測是否使用弱式演算法(如:HS256)對權杖進行簽署。

九、SQL Injection

SQLite 是一個 C 程式庫,提供輕量級的磁碟式資料庫,不需單獨的伺服器程序,並且允許使用 SQL 查詢語言的非標準變體存取資料庫。

新版本增強了 WebInspect SQL Injection 檢查功能,以使用 SQLite 程式庫 3.16.0 或更高版本偵測 Web 應用程式中是否存在 SQL Injection 弱點。

閱讀更多