现在越来越多的企业要做SDL方案，安全编码是其中的一环，而安全编码，很多时候是借助扫描工具来发现漏洞，企业常用的代码扫描工具有Fortify、Checkmarx等，我经历的公司大多都是用Fortify；也经常需要审计Fortify的扫描结果，并帮助开发修复，为此经常给开发培训，并整理常见的漏洞修复列表。

  这里会涉及到一个很重要的问题，就是如何判断漏洞是否误报?
其实是看输入是不是外部输入或者用户的输入，当扫描出来漏洞时，如果不是外部输入或者用户输入，那么很多时候是没有问题的,但大多数扫描出来的漏洞都是很容易修复的，所以根据纵深防御原则，有必要都修复，修复总的原则是，外部输入不可信，尽量减少外部输入，服务器端要校验。

下面我分享一下Fortify扫常见的漏洞及修复方式：

1. SQL注入（SQL Injection）
修复方法：
（1）如果是使用mybaits的框架，使用#符号替代，应为$符号是直接拼接数据库语句；
（2）如果没有使用框架，直接查询的话，可以使用Java预编译的方法PreparedStatement修复;

// This should REALLY be validated too
String custname = request.getParameter("customerName"); 
// Perform input validation to detect attacks
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, custname); 
ResultSet results = pstmt.executeQuery( );

2. XXE（XML External Entity Injection\XML Injection
）
修复方法：
（1）上传XML文件和office文档的地方，解析器禁用外部实体，

XMLReader reader = XMLReaderFactory.createXMLReader();
reader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
// This may not be strictly required as DTDs shouldn't be allowed at all, per previous line.
reader.setFeature("http://apache.org/xml/features/nonvalidating/load-external-dtd", false); 
reader.setFeature("http://xml.org/sax/features/external-general-entities", false);
reader.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

3. Spring-boot-actuator 配置安全（ Spring Boot Misconfiguration: Shutdown Actuator Endpoint Enabled\System Information Leak: Spring Boot Actuators Enabled）
修复方法：
（1）关闭开启的断点

endpoints.enabled = false
// 如果要开启一个端点，可以先关闭所有再开启
endpoints.metrics.enabled = true

（2）开启安全认证，引入spring-boot-starter-security依赖

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

在application.properties中指定actuator的端口以及开启security功能，配置访问权限验证，这时再访问actuator功能时就会弹出登录窗口，需要输入账号密码验证后才允许访问。

management.port=8099
management.security.enabled=true
security.user.name=admin
security.user.password=admin

4. XSS漏洞（Cross-Site Scripting: Reflected\ Cross-Site Scripting: Persistent）
修复方法：
（1）通过OWASP的ESAPI防XSS组件，输出编码，先通过Maven引入JAR包；

<dependency>
    <groupId>org.owasp.encoder</groupId>
    <artifactId>encoder</artifactId>
    <version>1.2.2</version>
</dependency>

<dependency>
    <groupId>org.owasp.encoder</groupId>
    <artifactId>encoder-jsp</artifactId>
    <version>1.2.2</version>
</dependency>

然后使用时，输出编码

PrintWriter out = ....;
    out.println("<textarea>"+Encode.forHtml(userData)+"</textarea>");

（2） 根据业务场景，校验输入的数据类型和字符长度;

5. 未授权访问的MongoDB（Unauthenticated Service: MongoDB）
修复方法：
（1）不要把MongoDB服务器部署在互联网上或者DMZ，开启MongoDB的授权访问；

编辑 /etc/mongo.conf 文件，找到 #auth=true , 去掉注释.
创建用户管理员

另外再连接MongoDB的时候

public class MongoDBJDBC {  
    public static void main(String[] args){  
        try {  
            //连接到MongoDB服务 如果是远程连接可以替换“localhost”为服务器所在IP地址  
            //ServerAddress()两个参数分别为 服务器地址 和 端口  
            ServerAddress serverAddress = new ServerAddress("localhost",27017);  
            List<ServerAddress> addrs = new ArrayList<ServerAddress>();  
            addrs.add(serverAddress);  
              
            //MongoCredential.createScramSha1Credential()三个参数分别为 用户名 数据库名称 密码  
            MongoCredential credential = MongoCredential.createScramSha1Credential("username", "databaseName", "password".toCharArray());  
            List<MongoCredential> credentials = new ArrayList<MongoCredential>();  
            credentials.add(credential);  
              
            //通过连接认证获取MongoDB连接  
            MongoClient mongoClient = new MongoClient(addrs,credentials);  
              
            //连接到数据库  
            MongoDatabase mongoDatabase = mongoClient.getDatabase("databaseName");  
            System.out.println("Connect to database successfully");  
        } catch (Exception e) {  
            System.err.println( e.getClass().getName() + ": " + e.getMessage() );  
        }  
    }  
} 

6. 硬编码(Password Management: Hardcoded Password)
修复方法：
（1） 不允许把用户的密码硬编码在代码中，可以加密放在配置文件中，最好的方法是存入密码托管服务

7. 密钥长度不够（Weak Encryption: Inadequate RSA Padding)
修复方法：
（1） 目前RSA的密钥长度要求至少2048位，随着算力的增长，将来可能要求更长;

8. AES的ECB模式不安全，不能隐藏加密模式（ Weak Encryption: Insecure Mode of Operation）
修复方法：
（1）禁用ECB，使用CBC，或者最新的加密算法GCM；

9. 不安全的密码算法（Weak Encryption）
修复方法：
（1）使用AES-CBC模式等，禁用DES,3DES；

10. 目录遍历漏洞（Path Manipulation: Absolute Path Traversal）
修复方法：
（1）禁止把绝对路径传入到前端，使用文件id的方法
（2）过滤../及其编码

参考：
(1) https://xz.aliyun.com/t/2233

(2) https://vulncat.fortify.com/en/weakness?q=spring%20boot

(3) https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html

(4) https://github.com/OWASP/owasp-java-encoder

(5) https://www.runoob.com/mongodb/mongodb-java.html``