Micro Focus Fortify Software Security Center auttaa integroimaan ja automatisoimaan tietoturvatestauksen kehittäjän kanssa ja saamaan täydellisen näkyvyyden sovellusten tietoturvariskeistä.

Tämä viesti sisältää kuukausittain Fortify Software Security Centerin vinkkejä ja temppuja, jotka ovat yhteenveto useista yleisistä Fortify Software Security Centerin ongelmista. Katso tästä artikkelista muiden työkalujen vianetsintävinkkejä ja temppuja.

Sisällysluettelo

• Fortify Software Security Centerin vinkit – tammikuu 2021
  • 1.Ohjeet ongelman korjaamiseen, kun vastaanottavan SQL-palvelimen virheet yrittäessään noutaa vahvistamissääntöä aloittivat SSC:n
  • 2. Selvitetään, voidaanko TAI-ehto antaa hakukyselyssä
  • 3. Fortify Software Security Center (SSC) -määrityksen ratkaiseminen – Tietokannan kylvövirhe
  • 4. CORS-tuen hankkiminen JavaScript-asiakasohjelmasta
  • 5. Indeksointivirheen korjaaminen – Ota yhteyttä järjestelmänvalvojaan
  • 6. Fortify SSC -raportoinnin suorittaminen – OWASP 2017 -raportointi
  • 7. Täysimetrisen uudelleenlaskennan suorittaminen
  • 8. Ohjeet virheen korjaamiseksi, kun SSC-kylvötyön muisti on vähissä
  • 9. Ohjeet vahvistavan sisällön viemiseen oikein
  • 10. SSC:n järjestelmänvalvojan salasanan nollausohjeet
• Fortify Software Security Centerin vinkit – helmikuu 2021
  • 1.Artefaktien poistovirhe jatkuu koko kuukauden
  • 2. Ratkaise '500 Internal Server Error' kirjautuessasi sisään yhdellä käyttäjällä
  • 3. Korjausohje 'Virhekoodi 2004 asennus VS-laajennuksen yhteydessä'
  • 4. Virheen korjaaminen: UPDATEEXISTINGWITHLATEST ladattaessa FPR SSC:hen
  • 5. Virhekoodin korjaaminen, kun uusi sovellusversio NPE lisätään
  • 6. Ohjeet 'TypeError: Objekti ei tue tätä toimintoa' korjaamiseksi
  • 7. Projektien artefaktien tyhjennyksen teknisyyden korjaaminen äkillisesti
  • 8. Ohjeet virheellisen tai väärän SCA-analyysipäivämäärän ratkaisemiseksi
  • 9. Ohjeet sovelluksen omistajan poistamiseen manuaalisesti
  • 10. Kun uusien sovellusprojektien luomisessa on vaikeuksia ja ne on myöhemmin merkitty Valmis myöhemmin
• Fortify Software Security Centerin vinkit – maaliskuu 2021
  • 1. Projektin omistavan LDAP-käyttäjän poistaminen
  • 2. Turvaton sisällön lähde: style-src
  • 3. Uuden Fortify-lisenssin asennusvaiheet
  • 4. Vahvista SSC-sähköpostihälytykset, jotka eivät toimi 100 %
  • 5. Opi vaihtoehtoinen tapa puhdistaa Fortify SSC DB
  • 6. Täysimetrinen uudelleenlaskenta
  • 7. Suuren tiedoston lataaminen johtaa GC-virheeseen
  • 8. Hae julkaisun löytymispäivämäärän mukaan
  • 9. DISA STIG:n SSC-ongelmaraportti ei näytä vaihtoehtoa 4.9 pudotusvalikosta
  • 10. UI Cannot Read Property Length Null
• Fortify Software Security Centerin vinkit – huhtikuu 2021
  • Onko hakukyselyssä mahdollista antaa TAI-ehto?
  • Poista sovelluksen omistaja
  • Väärä tai väärä SCA-analyysipäivämäärä
  • Indeksointivirhe – ota yhteyttä järjestelmänvalvojaan
  • Täysimetrinen uudelleenlaskenta
  • Vaarallisen sisällön lähde: style-src
  • Vaarallisen sisällön lähde: style-src
  • Virhe luotaessa uusia sovellusprojekteja – merkitty Valmis myöhemmin
  • SAML 2.0 -integraatio ei toimi. Versio 18.20 tykkää // (kaksois-URL)
  • SQL-palvelinvirheiden vastaanottaminen yritettäessä noutaa Fortify Rule aloitti SSC:n
• Fortify Software Security Centerin vinkit – toukokuu 2021
  • 1. Emme löydä SSC-linkkiä ja kirjaudu sisään siihen. Emme voi luoda uusia käyttäjiä sovelluksessa
  • 2. Onko olemassa aikajanaa, jolloin Fortify-julkaisu tapahtuu ja joka tukee .NET core 3.0:aa?
  • 3. Init.tokenia ei ole kirjoitettu Tomcat 9 -päivityksen jälkeen
  • 4. Missä mukana toimitettu Jira-laajennus on?
  • 5. Kun SSC on määritetty siihen pisteeseen, että tietokannan kylvö onnistui, sivusto ei enää tule näkyviin, kun käynnistän palvelimen uudelleen.
  • 6. TypeError: Objekti ei tue tätä toimintoa
  • 7. HTTPS-käyttöönottovirhe
  • 8. SSO vaurioitunut DB
  • 9. CVE-2020-1938 – Apache Tomcat Ghostcat -haavoittuvuus
  • 10. Apachen uudelleenkäynnistyksen jälkeen SSC antaa 404-virheen
• Fortify Software Security Centerin vinkit – kesäkuu 2021
  • 1. Kuinka löytää SSC-tietokannan tiedot?
  • 2. Päivitä versioon 20.1 – Testiyhteydessä tulee virhe asennuksen aikana
  • 3. TypeError: Nollan ominaisuutta 'length' ei voida lukea
  • 4. Jenkins-työn määrittäminen epäonnistumaan ensisijaisten ongelmien määrästä riippuen
  • 5. SSC:tä ei voi käyttää etänä (404 ei löydy)
  • 6. SSC-suodattimet eivät toimi
  • 7. Kuinka pienentää SSC-tapahtumalokien kokoa?
  • 8. SCA 18.20 skannaustulosten lataamiseksi SCA 19.1:stä ja 19.2:sta
  • 9. Kuinka kertakirjaus poistetaan käytöstä MS SQL -tietokannassa?
    • Haluatko tietää SSO:n poistamisesta kokonaan käytöstä ms sql -palvelintietokannassa?
  • 10. SSC 20.10 SQL Integrated Security -virhe: Tätä ohjainta ei ole määritetty integroitua todennusta varten.

Fortify Software Security Centerin vinkit – tammikuu 2021

1.Ohjeet ongelman korjaamiseen, kun vastaanottavan SQL-palvelimen virheet yrittäessään noutaa vahvistamissääntöä aloittivat SSC:n

Käyttäjien keskuudessa havaitaan usein, että kun he saavat SQL-palvelinvirheitä yrittäessään hakea Fortify Rule -sääntöä SSC:stä, tapahtuu virhe. Monet Fortify-koontiversiot epäonnistuvat siinä vaiheessa, kun SQL-palvelin yrittää hakea Fortify Rule -sääntöä SSC-sivustolta. Tämä komentosarjan komento:

Se epäonnistuu täysin koko skriptin suorittamisessa seuraavalla: Virhe 6224: Palvelin palautti: HTTP/1.1 500

On havaittu, että skriptin suorittaminen uudelleen ei todellakaan auta, ja se voisi tai ei päästä tämän edelle ja menestyä. Virheaikaa vastaavien lokien virheet on annettu alla:

Tämä virhe voidaan korjata, käyttäjän on pääasiassa ryhdyttävä ehkäiseviin toimenpiteisiin. Käyttäjän täytyy eheyttää ja indeksoida uudelleen koko tietokanta. Tämän jälkeen käyttäjät eivät kohtaa tätä virhettä uudelleen.

2. Selvitetään, voidaanko TAI-ehto antaa hakukyselyssä

Käyttäjät epäilevät usein, onko OR-ehto saatavilla hakukyselyssä, jos ollenkaan. Käyttäjien on usein kysyttävä työsovellusliittymää, mutta he voivat palauttaa vain arvot, jotka ovat identtisiä alla olevien kanssa:

Käyttäjät ovat katsoneet tapausta ymmärtääkseen ja osatakseen käyttää molempia API-operaattoreita, AND- ja OR-operaattoreita. Testien perusteella havaitaan, että molemmat operaattorit JA/TAI eivät todellakaan toimi kyselymerkkijonon löytämisessä. API-dokumentaatiossa on tiettyjä esimerkkejä, jotka sisältävät vain yhden hakuun käytettävän kentän. Huomaa myös, että esimerkeissä ei ole käytetty JA/OR-operaattoreita.

Kun syntaksi ja dokumentaatio on tarkastettu huolellisesti, havaitaan, että loogisia operaattoreita (AND/OR) ei tueta SSC REST API:ssa, kun käytetään myös kyselymerkkijonohakua. Siten vain yhtä ehtoa voidaan käyttää.

3. Fortify Software Security Center (SSC) -määrityksen ratkaiseminen – Tietokannan kylvövirhe

Käyttäjien keskuudessa on havaittu, että he törmäävät Fortify Software Security Center (SSC) -kokoonpanoon - tietokannan kylvövirheeseen.

Kun käyttäjät määrittävät Fortify Software Security Centeriä, he kohtaavat toisen samanlaisen virheen, alla oleva viesti:

Kylvö epäonnistui:

Kaikkia aloitussiemenpaketteja ei voi siementää. Etsi liitteenä olevat SSC-lokit ja tee tarvittavat toimenpiteet ongelman ratkaisemiseksi. Tietokanta asennettu: Mysql – 5.7.28 ja jdbc-ohjain – 8.0.18

Tämä virhe voidaan korjata helposti, käyttäjien tarvitsee vain seurata ohjeita:

1. Käyttäjän on pysäytettävä Tomcat.
2. Muista poistaa Catalina-kansio Apache Tomcatin asennushakemistostawork.
3. Sitten sinun on poistettava ssc-kansio verkkosovelluksista.
4. Poista nyt tiedosto ssc.war
5. Tämän jälkeen sinun on tyhjennettävä kaikki Tomcat-lokit.
6. Nyt sinun on poistettava .fortify-kansio.

Sitten sinun on käytettävä lataamiasi tiedostoja alla olevien tehtävien suorittamiseen:

1. Sinun on käynnistettävä tiedosto drop-tables.sql samalla tavalla kuin suoritit sen aiemmin.
2. Suorita nyt tiedosto create-tables.sql samalla tavalla kuin suoritit sen aiemmin.
3. Sitten sinun on lisättävä uusi ssc.war verkkosovellusten kansioon.
4. Nyt sinun on käynnistettävä Tomcat.
5. Siirry ohjattuun SSC-toimintoon ja siirry nyt eteenpäin konfigurointimenettelyssä.
6. Sitten JDBC-URL-osoitteessa sinun on käytettävä huolellisesti DB-lajittelua utf8_bin.
7. Sitten kylvössä sinun on noudatettava alla annettua järjestystä:

• Fortify_Process_Seed_Bundle-2018_Q3.zip
• Fortify_Report_Seed_Bundle-2018_Q3.zip
• Fortify_PCI_Basic_Seed_Bundle-2018_Q3.zip

4. CORS-tuen hankkiminen JavaScript-asiakasohjelmasta

Käyttäjät tarvitsevat apua CORS-tuen hankkimisessa JavaScript Client -sovelluksesta suorituskyvyn parantamiseksi. Käyttäjien keskuudessa on havaittu, että kun Fortify estää kaikki heidän yhteydenottopyyntönsä Fortify SSC API:hen sisäisistä JavaScript-sovelluksista. Se on estetty, koska CORS-kokoonpano ei ole riittävä.

Käyttäjät ovat yrittäneet asettaa saman web.xml-tiedostoon, mutta he eivät onnistuneet. Käyttäjät tarvitsevat ammattiapua oikean kokoonpanon hankkimisessa SSC tomcat -asetustiedoston lisäämistä varten. Se on niin, että he voivat sallia JavaScript-sovellustensa läpäistä CORS-selaimen esitarkastuksen ilman vaivaa.

Virheviesti, jonka käyttäjä näkee määrittämänsä localhost-testin yhteydessä, on annettu alla:

Ensinnäkin käyttäjien on huomioitava, että SSC:ssä on OCTCR-parannuspyyntö tälle virheelle: OCTCR11A122354

Käyttäjät pääsevät helposti eroon tästä ongelmasta, heidän on ohitettava CORS-tuki Tomcat-palveluissa. Ohitus on tehtävä kaikille verkkosovelluksille, joita isännöitiin /webapps/ ; joka on SSC:ssä. Käyttäjien on noudatettava joitain ohjeita ottaakseen käyttöön kaikki REST API -kutsut SSC API:lle CORS-suodattimien kautta Tomcat-palveluissa:

1. Käyttäjän tulee tehdä varmuuskopio web.xml-tiedosto hakemistossa /conf/ kansio.
2. Sitten sinun täytyy muokata web.xml tiedosto, ja sitten sinun on lisättävä huolellisesti alla annettuja CORS-merkintöjä:

3. Käyttäjän tulee huomioida, että nämä merkinnät liittyvät täysin Tomcat-palvelun CORS-suodattimeen.
4. Sitten cors.allowed.originsissa käyttäjien on määritettävä tarkasti *, mikä sallii kaikenlaisen alkuperän pyynnöille, jotka voivat saada tietoja kohdistetusta sivustosta. Tässä tilanteessa mikä tahansa SSC REST API -päätepiste, jota käyttäjä tarvitsee tehtävien suorittamiseen.
5. Nyt sinun täytyy muistaa tallentaa kaikki muutokset web.xml-tiedostoon.
6. Tämän jälkeen sinun on käynnistettävä Tomcat-palvelu uudelleen.

Kun nämä vaiheet on suoritettu täydellisesti, käyttäjän on yritettävä lähettää pyyntö SSC:lle JS-asiakkaalta Tomcat-palvelun CORS-suodattimen kautta.

5. Indeksointivirheen korjaaminen – Ota yhteyttä järjestelmänvalvojaan

Käyttäjien keskuudessa havaitaan, että heidän järjestelmästään puuttuu globaali hakuindeksi. Se näytetään, kun Fortify SSC on päivitetty 17.20-versiosta 18.20:een Windowsissa Käyttöjärjestelmät . He kohtaavat virheen verkkokäyttöliittymän ylimmässä välilehdessä, virhe sanoo: Indeksointivirhe – ota yhteyttä järjestelmänvalvojaan.

Tämän toistuvan virheen syynä on se, että SearchIndex-sijaintia ei ole asetettu oikein. Tämä on todettu loki- ja määritystiedostojen tosiasioiden mukaisesti, SearchIndex-sijainti:

1. Käyttäjän on lopetettava ja pysäytettävä Tomcat-palvelin.
2. Sitten sinun on navigoitava kohteeseen //konf.
3. Tee tiedostosta varmuuskopio app.properties .
4. Rivi 8 näyttää ominaisuuden searchIndex.location=. Käyttäjän on vain asetettava oikea polku .fortify-kansioon, jonka tulee olla ilman välilyöntiä. Alla on esimerkki viittaustarkoituksessa:

5. Kun tämä on tehty, käyttäjän on käynnistettävä Tomcat-palvelin.

6. Fortify SSC -raportoinnin suorittaminen – OWASP 2017 -raportointi

Käyttäjät tarvitsevat usein apua Fortify SSC -raportoinnin – OWASP 2017 -raportoinnin suorittamisessa ja tapoja lisätä raportti SSC:hen. Käyttäjien keskuudessa on havaittu, että raporttivalinnoissa on vain edellisen vuoden raportit. He ovat myös yrittäneet suodattaa OWASP TOP 2017:n mukaan, ja sen on todettu johtavan epäonnistumiseen, mutta ei erityisesti raportoinnissa.

Käyttäjän on myös huomioitava, että 2017 ID:tä ei voi käyttää eikä se ole käytettävissä raporttigeneraattorin parametriosiossa.

1. Käyttäjän on navigoitava hallintaan ja sitten malliin.
2. Mallit-kohdassa sinun on napsautettava Raportit ja sitten OWASP Top 10.

Sitten sinun on muokattava parametria nimeltä 'Asetukset'.

Sitten sinun on lisättävä uusi parametri:

Näyttöarvo: 'OWASP Top 10 2017'

Raportin arvo: '3C6ECB67-BBD9-4259-A8DB-B49328927248'

Yllä annettujen vaiheiden avulla OWASP Top 10 2017 -vaihtoehto on käytettävissä OWASP Top 10 -raporttia luotaessa. Käyttäjien on myös huomioitava, että he ovat päivittäneet kaikki sääntöpaketit (uusin versio Q4-2017) SSC:ssä. Tämä on tärkeää, jotta voidaan käyttää tätä viimeaikaista ulkoista luettelokartoitusta.

7. Täysimetrisen uudelleenlaskennan suorittaminen

Käyttäjät kyseenalaistavat usein tapoja käynnistää mittareiden uudelleenlaskenta KAIKKIIN sovellusversioihin SSC:ssä ja siihen liittyviä tietoja täyden metrijärjestelmän uudelleenlaskennasta. On myös havaittu, että SSC-palvelimen uudelleenkäynnistysominaisuus auttaa tällä alalla.

Käyttäjällä on uusi mukautettu suorituskykyindikaattori, ja hän haluaisi saada kaikki mittarinsa lasketuksi uudelleen. Tämä auttaa, koska uusi suorituskykyindikaattorin arvo päivitetään jokaiselle niistä.

Kun mukautettu suorituskykyilmaisin luotiin, kaikki mittarit lasketaan uudelleen kaikille sovelluksen versioille riippumatta siitä, mihin käyttäjä on tehnyt muutoksia. Esimerkiksi tarkastus, .fpr:n lataaminen mm.

Tätä uudelleenlaskentaa sovelletaan yhdessä Snapshot-päivityksen asetusten kanssa. Se riippuu myös Snapshot-päivitysasetuksista, mittarit lasketaan uudelleen tietylle sovellusversiolle periaatteessa kaikenlaisilla muutoksilla.

Joten nyt käyttäjän on laskettava KAIKKI sovellusversiot mittareineen uudelleen. Voit tehdä sen noudattamalla alla olevia ohjeita:

1. Käyttäjän on lisättävä arvoa invalidate.snapshots.after.variables.changes=true app.properties-tiedostossa, joka sijaitsee osoitteessa /Windows/System32/config/systemprofile/.fortify/ssc/conf/
2. Sitten sinun on käynnistettävä Tomcat-palvelu, erityisesti SSC:lle.
3. Tämä erikoisarvo auttaa sinua sallimaan mittareiden uudelleenlaskennan KAIKKIIN sovellusversioihin. Tämä tehdään Schedulerissa jo olevien asetusten mukaisesti. Sitten sinun on siirryttävä Snapshot Refresh -kohtaan ja valittava se.

8. Ohjeet virheen korjaamiseksi, kun SSC-kylvötyön muisti on vähissä

Käyttäjille tapahtuu usein, että tietokannan kylvöhetkellä siemen epäonnistuu virheilmoituksella, joka sanoo, että SSC-lokitiedostossa on JAVA-kekovirhe. On tosiasia, että jos tarkat asetukset valitaan tietokannan asennuksen ja konfiguroinnin yhteydessä, tällainen virheilmoitus ei tule näkyviin.

Yleensä tämä virhe johtuu JAVA:sta muistitila ei riitä kylvö- ja tietokantapopulaatioiden suorittamiseen. Tästä syystä se johtaa epäonnistumiseen ja siten virheilmoitukseen.

Tämä ratkaisu on erityisesti kylvö Java-kekovirheelle:

Käyttäjille on annettu perusohje, että sen tulee olla vähintään 4 Gt ja maksimissaan noin 1-2 Gt alle laitteen näytetyn mukaan.

1. Sinun on navigoitava /bin-kansioon. Sitten sinun on tehtävä tiedosto nimeltä setenv.sh Linux-käyttöjärjestelmille tai setenv.bat Windows-käyttöjärjestelmille.
2. Sitten setenv-tiedostossa käyttäjän on käytettävä alla annettua muotoa. Tämä auttaisi heitä asettamaan kasan koon annettujen parametrien avulla:

Erityisesti Linux-käyttöjärjestelmälle: vienti CATALINA_OPTS=-Xms4096M -Xmx10240M

Erityisesti Windows-käyttöjärjestelmälle: aseta CATALINA_OPTS=-Xms4096M -Xmx10240M

3. -Xms on minimi ja -Xmx on maksimi.
4. Sinun on tallennettava tiedosto, jotta muutokset säilyvät, ja käynnistettävä sitten Tomcat uudelleen.

Sitten käyttäjän täytyy käydä SSC-määritykset uudelleen läpi, jolloin kylvö on tarkka ilman ongelmia.

9. Ohjeet vahvistavan sisällön viemiseen oikein

Usein käyttäjät hakevat apua Fortify-sisällön viemiseen alkuperäisessä muodossa API- tai eräprosessin kautta.

Voit etsiä tietoja Fortify-sisällön viemisestä alkuperäisessä muodossa API:n tai erän kautta käyttämällä alla olevia vaiheita:

Pääset Fortify Software Security Centerin API-dokumentaatioon seuraavasti:

1. Käyttäjän on navigoitava Fortify-otsikkoon ja napsautettava sitten ohjekuvaketta. Sitten he voivat tarkastella Tietoja Fortify Software Security Centeristä -ruutua.
2. Sitten sinun on valittava API-dokumentaatio. Sitten FORTIFY SOFTWARE SECURITY CENTER API DOCUMENTATION VERSION -verkkosivu avautuu ja näkyy näytöllä.

Sitten käyttäjä voi selvittää, kuinka hän voi tehdä oikeat asetukset GET, POST, PUT ja DELETE.

10. SSC:n järjestelmänvalvojan salasanan nollausohjeet

Usein käy niin, että käyttäjät kohtaavat ongelmia LDAP-yhteydessä, sen näytetään vanhentuneena. On suositeltavaa päivittää uusi salasana SSC:n LDAP-yhteysasetuksissa.

Ongelma syntyy tässä, koska käyttäjä ei pysty kirjautumaan SSC:hen 'Admin'-tilillä. Myös WIE-palvelun tilin järjestelmänvalvojan oikeudet evätään. Joten käyttäjät hakevat apua SSC:n järjestelmänvalvojan (ei-verkkotunnuksen) salasanan nollaamiseen.

Tämä virhe voidaan ratkaista, käyttäjän on suoritettava alla annetut vaiheet tarkasti,

1. Käyttäjän on varmistettava, että heillä on turvallinen varmuuskopio tietokannastaan.
2. Sitten sinun on pantava täytäntöön SQL alla oleva lausunto SSC-tietokannasta.

Tämä kysely palauttaa järjestelmänvalvojan salasanan alkuperäiseen 'admin'-tilaan. Sitten se avaa tilin lukituksen nollaamalla kaikki epäonnistuneet kirjautumisyritykset. Käyttäjän tulee huomioida, että tämä on MSSQL-kysely.

Erityisesti 20.1.x-versiolle:

Erityisesti 19.x-versiolle:

Erityisesti versiota 19.x aikaisemmille versioille: