目前 Micro Focus Fortify 軟體安全性內容已能夠跨 27 種以上的程式設計語言,並支援 1032 個弱點類別,且涵蓋 100 多萬個單獨 API。而 Fortify WebInspect 的數千個弱點的檢查透過 SmartUpdate 機制,即可立即取得最新弱點檢查,並與引導使用者的原則結合在一起。
快來看看 Fortify WebInspect 在版本更新後,是如何應對以下 9 種安全性通報!
Fortify WebInspect 弱點支援:
一、弱式密碼編譯簽章:使用者控制的金鑰來源
Key Confusion 攻擊會威脅 JSON Web 權杖(JWT)的完整性。如果 JWT 實作未慎選金鑰來源以驗證從用戶端接收的權杖,攻擊者便能趁機偽造權杖有效承載,導致 JWT 實作容易遭受這些攻擊。
→ 新版本包括一項檢查,可用來評估使用 JWT 對 key confusion 攻擊的效果。
二、JSON Web Token :Missing Protection Claims
未實作保護宣告(例如:「jti」、「exp」、「aud」)的 JSON Web 權杖可能容易遭受模擬和重新執行攻擊。
→ 新版本包括多項檢查,可用來偵測掃描過程中遇到的權杖是否缺少這些宣告。
三、Access control :Authorization Bypass
JSON Web 權杖(JWT)提供防止資料遭到篡改的機制,因為其包含的資訊會使用 HMAC 或 RSA 演算法進行數位簽署。簽名驗證失敗的應用程式可能容易遭受未經授權的存取和模擬攻擊。
→ 新版本新增多項檢查,可用來評估 JWT 實作是否存在遺失和任意簽名攻擊。
四、OAuth2 :Insufficient state Parameter Entropy
若 OAuth2 通訊協定未使用具有足夠複雜度(entropy)的「state」參數值時,便容易遭受模擬攻擊。
→ 新版本新增可檢查及評估 state 參數是否無法滿足足夠複雜度的要求。
五、OAuth2 :Insufficient Refresh Token Revocation
在重新發出新的存取權杖之前,未驗證用戶端 ID、用戶端密碼和更新權杖到期的授權伺服器,可能容易遭受模擬攻擊。
→ 新版本新增可用來偵測是否可使用更新權杖來產生多個存取權杖,而無需用戶端 ID 和用戶端密碼。
六、OAuth2 :Insufficient Authorization Code Expiration
若 OAuth2 授權伺服器未能及時使授權碼到期,便可能受到模擬攻擊,因為它們可能繼續為被盜的授權碼授予新的有效存取權杖。
→ 新版本新增檢查,可用來偵測授權碼濫用。
七、Cross-Site Request Forgery
無法在 OAuth2 授權流程中使用「state」參數的應用程式,很容易遭受模仿用戶端的未經授權操作。此外,將 Cookie 儲存用於 JSON Web 權杖(JWT)的應用程式也會面臨類似 CSRF 攻擊的風險。
→ 新版本包含多項相關檢查,可用於偵測容易遭受 CSRF 攻擊的 JWT 和 OAuth2 執行個體。
八、弱式密碼編譯簽章 :金鑰大小不足
JSON Web 權杖包含數位簽署的資訊,用以證明承載的完整性。如 HS256 之類具有弱式密碼的對稱式演算法可能會被暴力破解,進而讓攻擊者可以產生任意承載,並使用有效金鑰對其進行簽署。
→ 新版本新增相關檢查,可用來偵測是否使用弱式演算法(如:HS256)對權杖進行簽署。
九、SQL Injection
SQLite 是一個 C 程式庫,提供輕量級的磁碟式資料庫,不需單獨的伺服器程序,並且允許使用 SQL 查詢語言的非標準變體存取資料庫。
→ 新版本增強了 WebInspect SQL Injection 檢查功能,以使用 SQLite 程式庫 3.16.0 或更高版本偵測 Web 應用程式中是否存在 SQL Injection 弱點。
