Mikrofookus Fortify tarkvara turbekeskus aitab integreerida ja automatiseerida turvatesti arendajaga ning saada täielikku ülevaadet rakenduste turvariskidest.

Selles postituses on igakuised Fortify Software Security Centeri näpunäited ja näpunäited, mis koondavad Fortify tarkvara turbekeskuses levinud probleemid. Sellest artiklist leiate tõrkeotsingu näpunäiteid ja nippe muude tööriistade jaoks.

Sisukord

• Tugevdamise tarkvara turbekeskuse nõuanded – jaanuar 2021
  • 1. Juhised probleemi lahendamiseks, kui vastuvõtva SQL-serveri vead tugevdamisreegli toomisel käivitasid SSC
  • 2. Selgitage välja, kas OR-tingimust saab otsingupäringus esitada
  • 3. Fortify Software Security Centeri (SSC) konfiguratsiooni lahendamine – andmebaasi külviviga
  • 4. CORS-i toe hankimine JavaScripti kliendilt
  • 5. Indekseerimisvea parandamine – võtke ühendust administraatoriga
  • 6. Fortify SSC aruandluse teostamine – OWASP 2017 aruandlus
  • 7. Täieliku meetrilise ümberarvutuse tegemine
  • 8. Juhised vea parandamiseks, kui SSC külvamise mälu hakkab otsa saama
  • 9. Juhised kangendatud sisu nõuetekohaseks eksportimiseks
  • 10. SSC-s administraatori parooli lähtestamise sammud
• Tugevdamise tarkvara turbekeskuse nõuanded – veebruar 2021
  • 1.Artefakti kustutamise viga püsib terve kuu
  • 2. Siseserveri tõrke 500 lahendamine ühe kasutajaga sisselogimisel
  • 3. Juhised, kuidas parandada veakood 2004 installi VS-laiendis
  • 4. Vea parandamine: UPDATEEXISTINGWITHLATEST FPR-i SSC-sse üleslaadimisel
  • 5. Uue rakenduse versiooni NPE lisamisel veakoodi parandamine
  • 6. Juhised vea „Tüübiviga: objekt ei toeta seda toimingut” parandamiseks
  • 7. Projektide artefaktide äkilise puhastamise tehnilisuse parandamine
  • 8. Juhised vale või vale SCA analüüsi kuupäeva lahendamiseks
  • 9. Juhised rakenduse omaniku käsitsi kustutamiseks
  • 10. Kui uute rakendusprojektide loomisel on raskusi ja need on hiljem märgitud kui Lõpeta hiljem
• Fortify Software Security Centeri nõuanded – märts 2021
  • 1. Kuidas kustutada projekti omandiõigusega LDAP-kasutaja
  • 2. Ebaturvaline sisu allikas: style-src
  • 3. Uue Fortify litsentsi installimise sammud
  • 4. Tugevdage SSC e-posti märguandeid, mis ei tööta 100%
  • 5. Siit saate teada alternatiivse viisi Fortify SSC DB tühjendamiseks
  • 6. Täielik meetriline ümberarvutus
  • 7. Suure faili üleslaadimisel ilmneb GC viga
  • 8. Otsige väljaande leidmise kuupäeva järgi
  • 9. DISA STIG-i SSC probleemiaruanne ei näita rippmenüüs valikut 4.9
  • 10. UI Cannot Read Property Length Null
• Fortify tarkvara turbekeskuse nõuanded – aprill 2021
  • Kas otsingupäringus on võimalik esitada VÕI-tingimus?
  • Kustutage rakenduse omanik
  • Vale või vale SCA analüüsi kuupäev
  • Indekseerimise viga – võtke ühendust administraatoriga
  • Täielik meetriline ümberarvutus
  • Ebaturvaline sisu Allikas: style-src
  • Ebaturvaline sisu Allikas: style-src
  • Viga uute rakendusprojektide loomisel – märgitud Lõpeta hiljem
  • SAML 2.0 integreerimine ei tööta. Versioon 18.20 meeldib // (topelt URL)
  • SQL-serveri vigade saamine tugevdamisreegli toomisel käivitas SSC
• Fortify tarkvara turbekeskuse nõuanded – mai 2021
  • 1. Me ei leia SSC linki ja ei saa sinna sisse logida. Me ei saa rakenduses uusi kasutajaid luua
  • 2. Kas .NET core 3.0 toetava fortify väljalase ilmub ajaskaala?
  • 3. Init.token pole kirjutatud pärast Tomcat 9 versioonile üleminekut
  • 4. Kus on kaasas olev Jira plugin?
  • 5. Pärast SSC seadistamist kuni andmebaasi eduka külvimiseni, kui ma serveri taaskäivitan, siis saiti enam ei kuvata.
  • 6. TypeError: objekt ei toeta seda toimingut
  • 7. HTTPS-i juurutamise viga
  • 8. SSO kahjustatud DB
  • 9. CVE-2020-1938 – Apache Tomcat Ghostcati haavatavus
  • 10. Pärast Apache'i taaskäivitamist annab SSC tõrketeate 404
• Fortify tarkvara turbekeskuse nõuanded – juuni 2021
  • 1. Kuidas leida SSC andmebaasi teavet?
  • 2. Värskenda versioonile 20.1 – seadistamise ajal kuvatakse ühenduse testimisel tõrge
  • 3. Tüübiviga: nulli atribuuti 'length' ei saa lugeda
  • 4. Jenkinsi töö nurjumise seadistamine olenevalt prioriteetsete probleemide hulgast
  • 5. SSC-le ei saa kaugjuurdepääsu (404 ei leitud)
  • 6. SSC-filtrid ei tööta
  • 7. Kuidas vähendada SSC sündmuste logide mahtu?
  • 8. SCA 18.20, et laadida skaneerimistulemused SCA 19.1 ja 19.2 alt
  • 9. Kuidas keelata SSO MS SQL andmebaasis?
    • Kas soovite teada SSO täieliku keelamise kohta ms sql serveri andmebaasis?
  • 10. SSC 20.10 SQL Integrated Security viga: see draiver ei ole integreeritud autentimiseks konfigureeritud.

Tugevdamise tarkvara turbekeskuse nõuanded – jaanuar 2021

1. Juhised probleemi lahendamiseks, kui vastuvõtva SQL-serveri vead tugevdamisreegli toomisel käivitasid SSC

Kasutajate seas on sageli täheldatud, et kui nad saavad SQL-serveri tõrketeateid, kui nad üritavad tuua SSC-st välja lülitatud tugevdamisreeglit, ilmneb tõrge. Paljud Fortify järgud ebaõnnestuvad sammul, kui SQL-server üritab tuua Fortify reeglit SSC saidilt. See konkreetne käsk skriptides:

See ebaõnnestub täielikult kogu skripti täitmisel järgmisega: Viga 6224: Server tagastas: HTTP/1.1 500

On täheldatud, et skripti uuesti käivitamine ei aita tegelikult ja see võib sellest ette jõuda ja õnnestuda või mitte. Allpool on toodud veaajale vastavad vead logides:

Seda viga saab parandada, kasutaja peab peamiselt võtma ennetavaid meetmeid. Kasutaja peab kogu DB defragmentima ja uuesti indekseerima. Pärast seda ei kohta kasutajad seda viga enam.

2. Selgitage välja, kas OR-tingimust saab otsingupäringus esitada

Kasutajad kahtlevad sageli, kas tingimus VÕI on otsingupäringus saadaval, kui üldse. Kasutajad peavad sageli esitama päringu tööde API-st, kuid saavad tagastada ainult väärtused, mis on identsed allpool toodud väärtustega:

Kasutajad on juhtumit vaadanud, et mõista ja teada, kuidas kasutada API mõlemaid operaatoreid, nii AND kui VÕI. Testide põhjal on täheldatud, et mõlemad operaatorid JA/VÕI ei tööta päriselt päringustringi leidmisel. API dokumentatsioonil on teatud näited, mis sisaldavad ainult ühte otsinguks kasutatavat välja. Samuti pange tähele, et näidetes ei ole kasutatud JA/VÕI tehteid.

Pärast süntaksi ja dokumentatsiooni hoolikat kontrollimist täheldatakse, et SSC REST API-s ei toetata tõeväärtuste operaatoreid (JA/VÕI), samas kui kasutatakse ka päringustringi otsingut. Seega saab kasutada ainult ühte tingimust.

3. Fortify Software Security Centeri (SSC) konfiguratsiooni lahendamine – andmebaasi külviviga

Kasutajate seas on täheldatud, et nad puutuvad kokku Fortify Software Security Centeri (SSC) konfiguratsiooniga – andmebaasi külviviga.

Kui kasutajad on Fortify Software Security Centerit konfigureerimas, puutuvad nad kokku veel ühe sarnase veaga, mille teade on toodud allpool:

Külvamine ebaõnnestus:

Kõiki seemnepakette ei saa külvata. Otsige üles lisatud SSC logid ja tehke probleemi lahendamiseks vajalikke toiminguid. Installitud andmebaas: Mysql – 5.7.28 ja jdbc draiver – 8.0.18

Selle vea saab hõlpsalt parandada, kasutajad peavad lihtsalt järgima juhiseid:

1. Kasutaja peab Tomcati peatama.
2. Kindlasti kustutage Catalina kaust Apache Tomcati installikataloogistwork.
3. Seejärel peate veebirakendustest kustutama ssc-kausta.
4. Nüüd kustutage fail ssc.war
5. Pärast seda peate kustutama kõik Tomcati logid.
6. Nüüd peate kustutama kausta .fortify.

Seejärel peate alltoodud ülesannete täitmiseks kasutama allalaaditavaid faile.

1. Peate käivitama faili drop-tables.sql samal viisil, nagu te seda varem käivitasite.
2. Nüüd käivitage fail create-tables.sql samamoodi nagu varem.
3. Seejärel peate veebirakenduste kausta lisama uue faili ssc.war.
4. Nüüd peate käivitama Tomcati.
5. Liikuge SSC-viisardi juurde ja liikuge nüüd konfigureerimisprotseduuriga edasi.
6. Seejärel peate JDBC URL-is hoolikalt kasutama DB võrdlemist utf8_bin.
7. Seejärel peate külvamisel järgima alltoodud järjekorda:

• Fortify_Process_Seed_Bundle-2018_Q3.zip
• Fortify_Report_Seed_Bundle-2018_Q3.zip
• Fortify_PCI_Basic_Seed_Bundle-2018_Q3.zip

4. CORS-i toe hankimine JavaScripti kliendilt

Kasutajad vajavad parema jõudluse tagamiseks abi JavaScripti kliendilt CORS-i toe hankimisel. Kasutajate seas on täheldatud, et kui Fortify blokeerib kõik nende taotlused sisemiste JavaScripti rakenduste kaudu Fortify SSC API-ga ühenduse loomiseks. See on blokeeritud, kuna CORS-i konfiguratsioon ei ole piisav.

Kasutajad on proovinud sama failis web.xml seadistada, kuid see ei õnnestunud. Kasutajad vajavad SSC tomcati konfiguratsioonifaili lisamiseks õige konfiguratsiooni hankimisel professionaalset abi. See on selleks, et nad saaksid lubada oma JavaScripti rakendustel CORS-i eelkontrolli brauseri kontrolli ilma probleemideta läbida.

Veateade, mida kasutaja oma seadistatud kohaliku hosti testi puhul kohtab, on toodud allpool:

Alustuseks peavad kasutajad märkima, et SSC-s on selle vea jaoks OCTCR-i täiustamise taotlus: OCTCR11A122354

Kasutajad saavad sellest probleemist hõlpsasti välja tulla, nad peavad Tomcati teenustes CORS-i toest mööda minema. Möödasõit tuleb teha kõigi veebirakenduste puhul, mida hostiti /webapps/ ; see on SSC-s. Kasutajad peavad järgima mõningaid juhiseid, et lubada Tomcati teenustes CORS-filtrite kaudu kõik REST API-kõned SSC API-le:

1. Kasutaja peab tegema varukoopia fail web.xml kaustas /conf/ kausta.
2. Seejärel peate redigeerima web.xml faili ja seejärel peate hoolikalt lisama allpool toodud CORS-iga seotud kirjed:

3. Kasutaja peab arvestama, et need kirjed on täielikult seotud Tomcati teenuse CORS-filtriga.
4. Seejärel peavad kasutajad failis cors.allowed.origins täpselt määrama *, mis võimaldab sihitud saidilt teavet hankida päringute mis tahes päritolu. Selles olukorras mis tahes SSC REST API lõpp-punkt, mida kasutaja vajab ülesannete täitmiseks.
5. Nüüd peate meeles pidama kõigi muudatuste salvestamist faili web.xml.
6. Pärast seda peate Tomcati teenuse taaskäivitama.

Pärast nende sammude täiuslikku sooritamist peab kasutaja proovima saata JS-kliendilt päringu SSC-le Tomcati teenuse CORS-filtri kaudu.

5. Indekseerimisvea parandamine – võtke ühendust administraatoriga

Kasutajate seas on täheldatud, et nende süsteemis on puudu globaalne otsinguindeks. See kuvatakse pärast Fortify SSC värskendamist Windowsi versioonilt 17.20 versioonile 18.20 Operatsioonisüsteemid . Neil ilmneb veebiliidese ülemisel vahekaardil tõrge, tõrge ütleb: Indekseerimise viga – võtke ühendust administraatoriga.

Selle korduva vea algpõhjus on see, et SearchIndexi asukoht ei olnud õigesti seadistatud. See on märgitud vastavalt faktidele logi- ja konfiguratsioonifailides, SearchIndexi asukoht:

1. Kasutaja peab Tomcati serveri lõpetama ja peatama.
2. Seejärel peate navigeerima aadressile //konf.
3. Tehke failist varukoopia app.properties .
4. Real 8 kuvatakse atribuut searchIndex.location=. Kasutajal tuleb lihtsalt määrata õige tee kausta .fortify suunas, mis peaks olema ilma tühikuta. Allpool on võrdluseesmärgiks toodud näide:

5. Kui see on tehtud, peab kasutaja käivitama Tomcati serveri.

6. Fortify SSC aruandluse teostamine – OWASP 2017 aruandlus

Kasutajad vajavad sageli abi Fortify SSC aruandluse – OWASP 2017 aruandluse täitmisel ja aruande SSC-sse lisamise viisidel. Kasutajate seas on täheldatud, et aruandevalikutes on saadaval ainult eelmise aasta aruanded. Nad on proovinud ka filtreerimist OWASP TOP 2017 järgi, märgitakse, et selle tulemuseks on tõrge, kuid mitte konkreetselt aruandluses.

Samuti peab kasutaja arvestama, et 2017. aasta ID-le ei pääse juurde ja see pole aruandegeneraatori parameetrite jaotises saadaval.

1. Kasutaja peab navigeerima halduse juurde ja seejärel minema jaotisse Mallid.
2. Jaotises Mallid peate klõpsama Aruanded ja seejärel OWASP Top 10.

Seejärel peate muutma parameetrit nimega 'Valikud'.

Seejärel peate lisama uue parameetri:

Kuvaväärtus: „OWASP Top 10 2017”

Aruande väärtus: '3C6ECB67-BBD9-4259-A8DB-B49328927248'

Ülaltoodud sammude abil on OWASP Top 10 2017 valik saadaval OWASP Top 10 aruande koostamise ajal. Samuti peavad kasutajad märkima, et nad on SSC-s värskendanud kõiki reeglipakke (viimane versioon on Q4-2017). See on oluline selle hiljutise välise loendi kaardistuse kasutamiseks.

7. Täieliku meetrilise ümberarvutuse tegemine

Kasutajad seavad sageli kahtluse alla viisid, kuidas algatada mõõdiku ümberarvutamine KÕIGI SSC rakenduse versioonide jaoks ja seotud teabega täieliku mõõdiku ümberarvutamise kohta. Samuti on täheldatud, et SSC-serveri taaskäivitusfunktsioon aitab selles valdkonnas.

Kasutajal on uus kohandatud toimivusnäitaja ja ta soovib, et kõik oma mõõdikud ümber arvutataks. See on abiks, kuna uut tulemusnäitaja väärtust värskendatakse igaühe jaoks.

Kohandatud toimivusnäidiku loomise ajal arvutatakse kõik mõõdikud uuesti kõigi rakenduse versioonide jaoks, olenemata sellest, kus kasutaja on muudatusi teinud. Näiteks auditeerimine, .fpr üleslaadimine jne.

Seda ümberarvutamist rakendatakse koos hetktõmmise värskendamise sätetega. See sõltub ka Snapshot värskendusseadetest, mõõdikud arvutatakse uuesti konkreetse rakenduse versiooni jaoks põhimõtteliselt igat tüüpi muudatustega.

Nüüd peab kasutaja KÕIK rakenduse versioonid koos nende mõõdikutega ümber arvutama. Selleks saate järgida alltoodud juhiseid.

1. Kasutaja peab lisama väärtuse invalidate.snapshots.after.variables.changes=true failis app.properties, mis asub aadressil /Windows/System32/config/systemprofile/.fortify/ssc/conf/
2. Seejärel peate käivitama Tomcati teenuse, eriti SSC jaoks.
3. See eriväärtus aitab teil lubada KÕIGI rakenduse versioonide mõõdikuid ümber arvutada. Seda tehakse vastavalt olemasolevatele sätetele, mis teil juba plaanijas on. Seejärel peate minema Snapshot Refresh ja valima selle.

8. Juhised vea parandamiseks, kui SSC külvamise mälu hakkab otsa saama

Sageli juhtub kasutajatega, et andmebaasi külvamise ajal ebaõnnestub seemne tõrketeade, mis ütleb, et SSC logifailis on JAVA kuhja viga. On tõsiasi, et kui andmebaasi seadistamise ja seadistamise ajal valitakse täpsed sätted, seda tüüpi veateadet ei kuvataks.

Üldiselt see viga on põhjustatud JAVA-st pole piisavalt mäluruumi külvi ja andmebaasipopulatsiooni käitamiseks. Sel põhjusel põhjustab see rikke ja seega ka veateate.

See lahendus on eriti mõeldud Java kuhja külvi vea jaoks:

Kasutajatele on antud põhijuhis, et see peaks olema minimaalselt 4 GB ja maksimaalselt umbes 1 kuni 2 GB alla vastavalt seadmel näidatule.

1. Peate navigeerima kausta /bin. Seejärel peate tegema faili nimega setenv.sh Linuxi operatsioonisüsteemide jaoks või setenv.bat Windowsi operatsioonisüsteemide jaoks.
2. Seejärel peab kasutaja setenv-failis kasutama allpool toodud vormingut. See aitaks neil määratud parameetrite abil määrata hunniku suurust:

Täpsemalt Linuxi operatsioonisüsteemi jaoks: eksport CATALINA_OPTS=-Xms4096M -Xmx10240M

Spetsiaalselt Windowsi operatsioonisüsteemi jaoks: komplekt CATALINA_OPTS=-Xms4096M -Xmx10240M

3. -Xms on minimaalne ja -Xmx on maksimaalne.
4. Muudatuste säilitamiseks peate faili salvestama ja seejärel taaskäivitama Tomcati.

Seejärel peab kasutaja SSC konfiguratsiooni uuesti läbi tegema ja siis on külv probleemideta täpne.

9. Juhised kangendatud sisu nõuetekohaseks eksportimiseks

Sageli otsivad kasutajad abi Fortify sisu eksportimisel omavormingus API või pakkprotsessi kaudu.

Teabe leidmiseks Fortify sisu omavormingus API või partii kaudu eksportimise kohta saate kasutada alltoodud samme.

Fortify Software Security Center API dokumentatsioonile juurdepääsemiseks tehke järgmist.

1. Kasutaja peab liikuma Fortify päisesse ja seejärel klõpsama abiikooni. Seejärel saavad nad vaadata kasti Teave Fortify tarkvara turbekeskuse kohta.
2. Seejärel peate valima API dokumentatsiooni. Seejärel avaneb FORTIFY SOFTWARE SECURITY CENTER API DOKUMENTATSIOONI VERSION veebileht ja kuvatakse see ekraanil.

Seejärel saab kasutaja välja mõelda, kuidas teha õige konfiguratsioon GET, POST, PUT ja DELETE jaoks.

10. SSC-s administraatori parooli lähtestamise sammud

Sageli juhtub, et kasutajad puutuvad kokku LDAP-ühenduse probleemidega, kuvatakse see aegunud. Soovitatav on värskendada uut parooli SSC LDAP-ühenduse sätetes.

Probleem tekib siin seetõttu, et kasutaja ei saa administraatori kontoga SSC-sse sisse logida. Samuti on keelatud WIE teenuse konto administraatoriõigused. Seega otsivad kasutajad abi SSC-s administraatori (mittedomeeni konto) parooli lähtestamiseks.

Selle vea saab lahendada, kasutaja peab alltoodud samme täpselt täitma,

1. Kasutaja peab veenduma, et tal on andmebaasist turvaline varukoopia.
2. Seejärel peate rakendama SQL allpool SSC andmebaasis esitatud avaldus.

See konkreetne päring lähtestab administraatori parooli algsesse administraatori olekusse. Seejärel avab see konto, lähtestades kõik ebaõnnestunud sisselogimiskatsed. Kasutaja peab märkima, et see on MSSQL-päring.

Täpsemalt 20.1.x versiooni jaoks:

Täpsemalt 19.x versiooni jaoks:

Täpsemalt versioonidele 19.x: