產品特寫

如何運用 Fortify WebInspect 解決近期三大安全弱點?

在拜訪客戶時常被詢問該如何解決近期出現的安全弱點,因此資通電腦 Fortify 顧問團隊將整理說明近期的三大弱點,並提出相對應的解決方案,提供給大家參考運用。

Fortify WebInspect 功能特色

Fortify WebInspect 能透過自動動態 Web 應用程式測試保護軟體免受 Web 應用程式弱點的侵害。

  • 支援最新的 Web 技術,包括:HTML5、JSON、AJAX、JavaScript、SPA。
  • 直覺式的掃描引導精靈協助使用者掃描。
  • 為所有重要的合規法令提供預先設定的規則和報告,簡化法律、法規及架構需求的合規管理,例如:PCI DSS、DISA STIG、NIST 800-53、ISO 27K、OWASP、HIPAA、GDPR…等報告。
  • 提供每個弱點細節、嚴重等級及修復說明與參考資料,以便開發人員可以更快修復漏洞。
  • 可掃描傳統 SOAP 格式的 Web Service。
  • 可掃描 RESTful Web Service,支援 Open API(Swagger、OData)格式。
  • 其他 Web API 可透過 WebInspect 的 Postman 整合支援獨特的工作流程、複雜的身份驗證和自定參數要求。
  • WebInspect 提供 RESTful API,讓使用者可以遠端控制掃描,也可輕易的將掃描整合到自動化流程之中。

WebInspect 如何應對近期三大安全弱點?

OGNL Expression Injection:Double Evaluation

由 CVE-2022-26134 識別出一個嚴重 OGNL Expression Injection 弱點會影響 Atlassian Confluence Server 和資料中心。此弱點會允許未經驗證的攻擊者在容易遭受攻擊的應用程式上執行任意程式碼。受影響的 Confluence Server 和 Data Center 版本為 1.3.0 到 7.4.16、7.13.0 到 7.13.6、7.14.0 到 7.14.2、7.15.0 到 7.15.1、7.16.0 到 7.16.3、7.17.0 到 7.17.3 以及 7.18.0。

解決:新增檢查偵測受影響的 Confluence and Data Center 伺服器中是否存在此弱點。

Dynamic Code Evaluation:Code Injection

已發現 Spring Framework by Pivotal 容易受到 CVE-2022-22965 所識別出的遠端程式碼執行(RCE)弱點攻擊。遠端攻擊者可提供精心製作的要求參數,可能導致執行任意程式碼。

解決:新增可偵測使用受影響 Spring Framework 版本的 Web 應用程式中是否存在此弱點。

Insecure Deployment:OpenSSL

OpenSSL 是一種廣泛用於支援 SSL/TLS 連線的熱門加密程式庫,其已被發現容易受到 CVE-2022-0778 所識別出的 Denial Of Service(DoS)弱點攻擊。透過製作具有無效明確橢圓曲線參數的憑證,可以在受影響的系統上觸發無限迴圈 DoS。

解決:新增可偵測目標 Web 伺服器上是否存在 CVE-2022-0778 弱點。

延伸閱讀:

閱讀更多