Fortify Source Code Analysis Suite是目前在全球使用最为广泛的软件源代码安全扫描,分析和软件安全风险管理软件。该软件多次荣获全球著名的软件安全大奖,包括InforWord, Jolt,SC Magazine….目前众多世界级的软件开发企业都在使用该软件方案在他们的开发团队中加速查找软件安全漏洞的效率,监视和管理软件安全的风险.
我的最新日志
-
2008-7-02
构造动态SQL语句可能会使得攻击者可以修改语句的含义或者执行任意的SQL命令。
EXPLANATION
发生SQL Injection有以下几种方式:
1. 进入程序的数据来自不可信赖的资源。
在这个例子中,数据进入到文件session/ParameterParser.java 的第590行的getParameterValues() 函数中。
2. 数据用于动态构造一个SQL查询。
在这个例子中,数据被传递到文件session/ParameterParser.java 的第590行的getParameterValues() 函数中。
查看(17)
评论(0)
-
2008-6-27
6月23日消息,据某媒体报道:5月18日,犯罪嫌疑人杨某非法侵入昆山红十字会网站,在消息中填写自己拥有的银行卡卡号和户名,企图以赈灾募捐名义敛取钱财;5月25日,湖南省红十字会透露,一些网络黑客偷偷地潜入了省红十字会网站,将上面的慈善账号改为了诈骗的银行账号,现在6名涉案人员已经全部被抓获。这是继地震网站被黑之后,又一次在社会上造成恶劣影响的公益网站被黑客攻击事件。
我们在拷问黑客们社会良知的同时,禁不住追问,我们的网站为什么频繁的遭受黑客们攻击?据相关数据显示,2007年,我国共有49,652,557台计算机感染病毒,互联网用户遭受过病毒攻击的比例占90.56%。其中全球被蝇蛆影响的电脑就有26%在中国,高于其它任何一个国家,如此高密度的病毒感染,其背后的原因是什么?带着这些疑问记者走访了相关机构和专家,得到的答案是,中国的网站安全问题主要体现在两个方面,一方面是安全意识淡薄,另一方面是安全标准缺失,存在一些灰色地带。
安全意识淡薄导致中小型网站频繁遭到“黑客”攻击
堂堂的官方网站在“黑客”面前如此的不堪一击,无论是地震网站被黑还是红十字网站被攻击,其黑客的水平并不高,也不是什么黑客高手,有的只是十几岁的学生,为了好玩儿而攻击网站,这些网站却一攻即破,且近年来,类似的事情比比皆是,业内有关人士指出,主要原因是从上到下重视程度不够,安全意识淡薄。
政府网站如此,那么中小型企业网站又是什么情况呢?据CNCERT/CC杨海军博士向记者介绍,目前受网络攻击比较严重的企业多在金融行业或者与互联网关系密切的企业,银行、证券等的网络欺诈事件,网游公司的木马盗号事件时有发生,而遇到最多的问题分别是:恶意代码、安全漏洞、流量异常、垃圾邮件、拒绝访问,占总攻击的95%,木马病毒、黑客技术、恶意代码,网络攻击手段的日新月异,使得网络安全危机四伏。
麦当劳网站被攻击,农业银行网上银行帐号被盗等等,我们不怀疑这些网站的硬件设施和软件建设的实力,但却又频繁的爆出被黑客攻击。据了解,面对不容乐观的网络安全形势,不少企业和政府仍然缺乏网络安全意识,甚至连简单的网络安全规范都做不到,这让众多的网络安全专家非常担心。他们认为当务之急是提高企业和政府的网络安全意识,“全民参战”。
“黑客”惹祸的关键,安全标准缺失
在网站频繁遭到黑客攻击造成巨大损失的同时,业内有关人士指出,互联网安全标准的缺失才是黑客频繁惹祸的关键,由于缺失安全标准,造成了互联网安全方面存在一些灰色地带,而巨大的黑色产业链条的利益诱惑,又使得在一定程度上刺激黑客产业的发展,互联网各上、中、下游企业,没有形成统一的标准和规划,致使在安全方面无法形成合力,阻击黑客攻击。
“目前,在阻击黑客攻击方面存在巨大的安全隐患,产品标准缺失是主因。在软件方面,如杀毒软件测试就缺乏统一的国家标准,这带来了杀毒软件的误杀和其它的一些安全问题;通过CMS系统(网站内容管理系统)的安全漏洞攻击网站却是黑客最主要的攻击手段,但CMS同样也没有统一的国家标准和行业标准,往往一个CMS系统就有成百上千、甚至有数十万的网站在使用,一旦暴露安全漏洞,对我国的互联网安全将可能带来重大的影响!而目前,部分CMS系统提供商对安全问题不够重视或技术实力不够,导致其CMS产品中有许多漏洞,这也是安全隐患的原因之一。而在硬件服务器方面虽然有一份由国家标准化委员会发布的《服务器安全技术要求》,但在其它领域仍然是缺少标准,如防火墙目前还没有国家标准和行业标准,而厂商依据的是企业标准。”动易网络安全专家对记者说。
而在整个阻击网站黑客攻击的安全防范工作里,其难点还在于软件方面,对此问题,记者进一步向国内目前CMS领域市场占有率第一的动易网络的安全专家了解道,相比于杀毒软件现已得到了有关方面的重视,在CMS 领域,安全标准仍是一个很大的空白。由于标准缺失,用户无法判断哪个CMS产品是否安全,只能听从厂商的宣传,而任何一个厂商都会宣传自己的产品是安全的。所以从用户角度来说,不能只看厂商宣传有多少,而是要看他具体做了哪些工作,比如聘请安全厂商进行安全审计,到网上搜索一下漏洞记录,看有没有及时修复已经发现的漏洞,有能力的还可以自己查看源代码找一找漏洞,这样才能在标准的缺失下,真正选择到一款安全的系统,从而提高网站抵抗黑客攻击的能力。
另据记者了解,目前各CMS厂商依据的是企业标准进行检测,而动易公司则除了在研发过程中注重产品安全外,还特别地将安全审计工作外包给专业的安全厂商、组织进行负责,聘请外脑,以确保动易产品拥有出色的安全性。此外,动易产品还建立了极为严谨的产品安全维护及更新机制,与国内知名的各安全组织建立了长期合作,一旦发现最新产品漏洞,将在24小时内发布漏洞补丁并以短信方式通知所有客户,以确保客户网站安全,这不失为标准缺失下的为用户安全负责的一个最佳途径。
目前,网络安全与信息方面的标准工作已经启动,国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会,但我国网络与信息安全的主要标准化组织CCSA相对而言比较年轻,研究工作才刚刚起步,未来的路还很漫长,还需要各厂商同心协力,相互合作。
查看(22)
评论(0)
-
2008-6-26
案例一
2008年4月中科伟博(北京)科技有限公司与中国信息安全产品测评认证中心签定关于Fortify测试软件采购合同.中国信息安全产品测评认证中心成为Fortify软件源代码安全扫描测试产品的又一重要客户.
中国信息安全产品测评认证中心是经中央批准成立、国家质量监督检验检疫总局授权、代表国家开展信息安全测评认证工作的职能机构.采购Fortify软件源代码安全扫描测试工具
Fortify-SCA全面的软件安全代码规范及其文档资料丰富了中心技术人员应用软件安全知识,让开发人员尽快了解各种软件安全漏洞的成因和修复方法。节约了测试人员在识别软件漏洞和修复安全漏洞的时间。防止软件开发团队成员有意或者无意而遗留在软件项目中的安全隐患。避免以后软件上线后造成重大的经济和其他方面损失,提高测评水平。
中国信息安全产品测评认证中心通过对软件源代码安全的研究以及测试工具的使用,测评心中可以更好的满足国家对信息安全测评工作的要求,对信息安全项目进行科学、全面、有效的风险评估。
案例二
中国海关总署在京直属事业单位全国海关信息中心,承办海关总署机关和海关系统的信息化系统建设工作, 2007年12月签署了"2007海关总署Fortify测试软件采购合同"全国海关信息中心通过使用fortify SCA针对软件源代码进行安全自动化测试扫描来帮助他们解决软件安全问题,更好的完成全国海关信息中心对于软件安全测试的任务。提高了全国海关信息中心乃至整个中国海关的信息安全水平, fortify SCA的使用不仅使得他们更出色的完成评测任务,随着进一步的深入使用必然有利于海关系统内部形成规范化的软件安全测试标准,规避信息安全风险!fortify SCA得到了全国海关信息中心技术人员以及管理人员的一直好评!
查看(26)
评论(0)
-
2008-6-26
案例一
2008年4月中科伟博(北京)科技有限公司与中国信息安全产品测评认证中心签定关于Fortify测试软件采购合同.中国信息安全产品测评认证中心成为Fortify软件源代码安全扫描测试产品的又一重要客户.
中国信息安全产品测评认证中心是经中央批准成立、国家质量监督检验检疫总局授权、代表国家开展信息安全测评认证工作的职能机构.采购Fortify软件源代码安全扫描测试工具
Fortify-SCA全面的软件安全代码规范及其文档资料丰富了中心技术人员应用软件安全知识,让开发人员尽快了解各种软件安全漏洞的成因和修复方法。节约了测试人员在识别软件漏洞和修复安全漏洞的时间。防止软件开发团队成员有意或者无意而遗留在软件项目中的安全隐患。避免以后软件上线后造成重大的经济和其他方面损失,提高测评水平。
中国信息安全产品测评认证中心通过对软件源代码安全的研究以及测试工具的使用,测评心中可以更好的满足国家对信息安全测评工作的要求,对信息安全项目进行科学、全面、有效的风险评估。
案例二
中国海关总署在京直属事业单位全国海关信息中心,承办海关总署机关和海关系统的信息化系统建设工作, 2007年12月签署了"2007海关总署Fortify测试软件采购合同"全国海关信息中心通过使用fortify SCA针对软件源代码进行安全自动化测试扫描来帮助他们解决软件安全问题,更好的完成全国海关信息中心对于软件安全测试的任务。提高了全国海关信息中心乃至整个中国海关的信息安全水平, fortify SCA的使用不仅使得他们更出色的完成评测任务,随着进一步的深入使用必然有利于海关系统内部形成规范化的软件安全测试标准,规避信息安全风险!fortify SCA得到了全国海关信息中心技术人员以及管理人员的一直好评!
查看(20)
评论(0)
-
2008-6-11
黑客攻击的武器
复件 hacker2.jpg
查看(262)
评论(1)
-
2008-6-11
2008年4月中科伟博(北京)科技有限公司与中国信息安全产品测评认证中心签定关于Fortify测试软件采购合同.中国信息安全产品测评认证中心成为Fortify软件源代码安全扫描测试产品的又一重要客户.
中国信息安全产品测评认证中心是经中央批准成立、国家质量监督检验检疫总局授权、代表国家开展信息安全测评认证工作的职能机构.采购Fortify软件源代码安全扫描测试工具
Fortify-SCA全面的软件安全代码规范及其文档资料丰富了中心技术人员应用软件安全知识,让开发人员尽快了解各种软件安全漏洞的成因和修复方法。节约了测试人员在识别软件漏洞和修复安全漏洞的时间。防止软件开发团队成员有意或者无意而遗留在软件项目中的安全隐患。避免以后软件上线后造成重大的经济和其他方面损失,提高测评水平。
中国信息安全产品测评认证中心通过对软件源代码安全的研究以及测试工具的使用,测评心中可以更好的满足国家对信息安全测评工作的要求,对信息安全项目进行科学、全面、有效的风险评估。
查看(238)
评论(0)
-
2008-6-10
查看(18)
评论(0)
-
2008-6-10
暂无
查看(13)
评论(0)
-
2008-6-10
A. Fortify Source Code Analysis Engine(源代码分析引擎)
采用数据流分析引擎,语义分析引擎,结构分析引擎,控制流分析引擎,配置分析引擎和特有的X-Tier跟踪器从不同的方面查看代码的安全漏洞,最大化降低代码安全风险。
B. Fortify Secure Code rules:Fortify (软件安全代码规则集)
采用国际公认的安全漏洞规则和众多软件安全专家的建议,辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际权威机构采用,包括美国国土安全(CWE)标准、OWASP,PCI。。。等。
C. Fortify Audit Workbench (安全审计工作台)
辅助开发人员、安全审计人员对Fortify Source Code Analysis Engines(源代码分析引擎)扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。
D. Fortify Rules Builder (安全规则构建器)
提供自定义软件安全代码规则功能,满足特定项目环境和企业软件安全的需要。
E. Fortify Source Code Analysis Suite plug in (Fortify SCA IDE集成开发插件)
Eclipse, WSAD, Visual Studio 集成开发环境中的插件,便于开发者在编写代码过程中可以直接使用工具扫描代码,立刻识别代码安全漏洞,并立即根据建议修复,消除安全缺陷在最初的编码阶段,及早发现安全问题,降低安全问题的查找和修复的成本。
F. Fortify Manager(软件安全管理器)
基于WEB企业用户接口的软件安全信息存储\分析\评估和报告的软件安全管理平台.主要功能是定义和监视软件安全策略、跟踪和报告软件安全趋势、跨多个应用管理软件安全风险。
查看(29)
评论(0)
-
2008-6-10
Fortify Source Code Analysis Suite产品介绍
Fortify Source Code Analysis Suite是目前在全球使用最为广泛的软件源代码安全扫描,分析和软件安全风险管理软件。该软件多次荣获全球著名的软件安全大奖,包括InforWord, Jolt,SC Magazine….目前众多世界级的软件开发企业都在使用该软件方案在他们的开发团队中加速查找软件安全漏洞的效率,监视和管理软件安全的风险.
查看(18)
评论(0)
