1. 首页
  2. 测试
  3. Fortify

Fortify SCA可以扫描的安全漏洞种类明细介绍

Fortify 主要针对以下7大漏洞进行扫描:

  • input Validation and Representation: 输入验证和表示
  • API Abuse: API滥用
  • Security Features: 安全功能
  • Time and State: 时间和状态
  • Errors: 错误
  • Code Quality: 代码质量
  • Encapsulation: 封装

  • input Validation and Representation漏洞扫描项

Buffer Overflow            缓冲区溢出

Command Injection     命令注入

Cross-Site Scripting    跨站点脚本编制

Format String         格式字符串

HTTP Response Splitting    HTTP响应分裂

Illegal Pointer Value  非法指针值

Integer Overflow   整数溢出

Log Forging   日志锻造

Path Manipulation   路径操作

Process Control      过程控制

Resource Injection  资源注入

Setting Manipulation   设置操作

SQL Injection      SQL注入

String Termination Error      字符串终止错误

Struts: Duplicate Validation Forms       Struts:重复验证表单

Struts: Form Bean Does Not Extend Validation Class     Struts:表单Bean不扩展验证类

Struts: Form Field Without Validator      没有验证器的表单字段

Struts: Plug-in Framework Not In Use      Struts:未使用的插件框架

Struts: Unused Validation Form       Struts:未使用的验证表单

Struts: Unvalidated Action Form      Struts:未经验证的动作表单

Struts: Validator Turned Off            Struts:验证器关闭

Struts: Validator Without Form Field    Struts:没有表单字段的验证器

Unsafe JNI   不安全的JNI

Unsafe Reflection     不安全的反射

XML Validation    XML验证


  • API Abuse: API漏洞扫描项

Dangerous Function     危险的函数

Directory Restriction    目录的限制

Heap Inspection      堆检验

J2EE Bad Practices: getConnection()     J2EE不良实践:getConnection()

J2EE Bad Practices: Sockets      J2EE不好的实践:套接字

Often Misused: Authentication    经常滥用:身份验证

Often Misused: Exception Handling   经常误用:异常处理

Often Misused: File System      常被误用的:文件系统

Often Misused: Privilege Management     经常误用:特权管理

Often Misused: Strings     经常滥用:字符串

Unchecked Return Value    不返回值


  • Security Features漏洞扫描项

Insecure Randomness   不安全的随机性

Least Privilege Violation    最小特权违反

Missing Access Control    失踪的访问控制

Password Management     密码管理

Password Management: Empty Password in Config File      密码管理:配置文件中的密码为空

Password Management: Hard-Coded Password      密码管理:硬编码密码

Password Management: Password in Config File    密码管理:配置文件中的密码

Password Management: Weak Cryptography     密码管理:弱密码

Privacy Violation     隐私的侵犯


  • Time and State漏洞扫描项

Deadlock   死锁

Failure to Begin a New Session upon Authentication    身份验证后无法开始新会话

File Access Race Condition: TOCTOU    文件访问竞争条件:TOCTOU

Insecure Temporary File   不安全的临时文件

J2EE Bad Practices: System.exit()    J2EE不良实践:System.exit()

J2EE Bad Practices: Threads    J2EE不好的实践:线程

Signal Handling Race Conditions   信号处理竞态条件


  • Errors漏洞扫描项

Catch NullPointerException   捕捉空指针异常

Empty Catch Block    空的Catch块

Overly-Broad Catch Block   过于宽泛的Catch块

Overly-Broad Throws Declaration   过于宽泛的抛出宣言


  • Code Quality漏洞扫描项

Double Free   双自由

Inconsistent Implementations   不一致的实现

Memory Leak   内存泄漏

Null Dereference   零废弃

Obsolete    过时了

Undefined Behavior   未定义的行为

Uninitialized Variable   未初始化变量

Unreleased Resource   未释放的资源

Use After Free  使用后免费


  • Encapsulation漏洞扫描项:

Comparing Classes by Name    按名称比较类

Data Leaking Between Users   用户之间的数据泄漏

Leftover Debug Code   剩下的调试代码

Mobile Code: Object Hijack   移动代码:对象劫持

Mobile Code: Use of Inner Class   移动代码:使用内部类

Mobile Code: Non-Final Public Field   移动代码:非最终公共字段

Private Array-Typed Field Returned From a Public Method   从公共方法返回的私有数组类型字段

Public Data Assigned to Private Array-Typed Field     分配给私有数组类型字段的公共数据

System Information Leak   系统信息泄漏

Trust Boundary Violation    信任边界违反

作者:GO,如若转载,请注明出处:https://www.testgo.cn/418.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论列表(2条)

  • codl
    codl 2019-06-01 下午5:05

    找了好久了! 😉

    • GO
      GO 回复 codl 2019-06-01 下午5:58

      确实是不好找,我也是找了好长时间然后总结过来的 😎

联系我们

点击这里给我发消息