如何使用FindBugs进行安全扫描

前言

随着移动互联网的飞速发展,移动端产品满天飞,深入各行各业,移动端安全已经变得跟PC端安全同等重要地位。但由于移动端自身特性,移动端操作系统以及应用程序的安全性做的还不是很成熟。因此,我们在开发移动端App的时候,要尽量多地避免安全漏洞问题。本文主要是从预防的角度出发,介绍一个静态代码扫描工具,在编译阶段来提前发现代码的安全漏洞。

FindSecurityBugs简介

FindSecurityBugs是Java静态分析工具FindBugs的插件,通过一系列的规则发现代码中的Java安全漏洞。这个工具可以集成在很多IDE中,包括Eclipse或IntelliJ。目前这个项目已经在安全社区中获得了不少关注度。该工具的最新版本还增加了专门针对Android端产品的漏洞类型。因此,它也是一个不错的移动端安全扫描工具。如果你想更详细的了解它,可以去访问FindeSecurityBugs的Github社区。

FindSecurityBugs用法

由于FindSecurityBugs是FindBugs的一个插件,因此我们使用它的时候先要下载FindBugs工具。你可以去FindBugs的官方网站获取最新的安装包,这里就不介绍安装过程了。

一、命令行方式

示例:

./findbugs -textui -low -html -output myreport.html  /Users/darylzhang/Downloads/findbugs-3.0.1/test/

下面是常见参数说明
-home 定义findbugs2软件存放位置
-low 提交警告及任何级别以上报告
-medium 提交中,高级报告(默认)
-high 只提交高级警告
-xml 警告以 xml输出
-html 警告以 html输出
-output 定义输出的文件名
-onlyAnalyze 只分析指定的 class/package
-exclude 忽略指定的 class/package (必修以 xml定义过滤的命名)
-include 只输出指定的 class/package (必修以xml定义过滤的命名)

二、集成到Eclipse插件

1. 系统要求

首先要在电脑上安装Eclipse 3.3以上的版本,且安装JRE/JDK 1.5以上版本。

2. 安装FindBugs插件

1)通过Eclipse的站点更新功能可以将FindBugs自动下载并安装到Eclipse插件。


如何使用FindBugs进行安全扫描_第1张图片
图1

2)目前提供三个FindBugs的下载地址:

  • http://findbugs.cs.umd.edu/eclipse/ :这个地址只提供官方Release版本
  • http://findbugs.cs.umd.edu/eclipse-candidate/ :提供最新的预发布版本
  • http://findbugs.cs.umd.edu/eclipse-daily/ :提供最新的每日构建版本

3)你也可以直接通过以下地址下载:http://prdownloads.sourceforge.net/findbugs/edu.umd.cs.findbugs.plugin.eclipse_3.0.1.20150306.zip?download ,然后解压到Eclipse的插件目录
4)下载FindSecurityBugs扩展包
下载地址:http://h3xstream.github.io/find-sec-bugs/download.htm
5)安装FindSecurityBugs扩展包

  • 打开Eclipse偏好设置
  • 进入Java->FindBugs选项
  • 找到插件选项卡,导入扩展包
如何使用FindBugs进行安全扫描_第2张图片
图2

3. 报告配置

进入报告配置页面设置要扫描的Bug级别,比如我们这里只关注安全类型的bug的话,就只勾选Security选项。并设置报告级别为low,这样就可以尽可能多的报告所有问题。


如何使用FindBugs进行安全扫描_第3张图片
图3

4. 开始扫描

右键点击要扫描的工程,找到Finde Bugs菜单项,选择Find Bugs开始扫描。如下图所示。


如何使用FindBugs进行安全扫描_第4张图片
图4
  1. 查看报告
    扫描完成后,我们可以进入Bug Explorer查看结果报告,当然如果没看到这个窗口,我们可以在Window—>Show view—>others里面调出来。
如何使用FindBugs进行安全扫描_第5张图片
图5

FindSecurityBugs能扫描的问题

这里简单介绍几种FindSecurityBugs能扫描出来的Android漏洞类型。

1. 外部文件读写权限漏洞

应用程序具有写入外部存储(一般是SD卡)的权限。开通了这个权限会导致多个安全隐患。比如,应用程序可以通过READ_EXTERNAL_STORAGE权限来获取存储在本地SD卡的文件,如果这些数据包含用户敏感信息,而且没有加密的话,那将会造成用户隐私的泄密。
存在风险的代码片段:

file file = new File(getExternalFilesDir(TARGET_TYPE), filename);
fos = new FileOutputStream(file);
fos.write(confidentialData.getBytes());
fos.flush();

修复建议:

fos = openFileOutput(filename, Context.MODE_PRIVATE);
fos.write(string.getBytes());

2. 广播

Broadcast intents可以被任何拥有相关权限的应用程序截获,从而获得敏感信息。
存在风险的代码片段:

Intent i = new Intent();
i.setAction("com.insecure.action.UserConnected");
i.putExtra("username", user);
i.putExtra("email", email);
i.putExtra("session", newSessionId);

this.sendBroadcast(v1);

修复建议:

Intent i = new Intent();
i.setAction("com.secure.action.UserConnected");

sendBroadcast(v1);

3. 写文件权限

我们通过写权限MODE_WORLD_READABLE来写文件的时候,有可能会把文件的内容暴露出来,如下代码片段:

fos = openFileOutput(filename, MODE_WORLD_READABLE);
fos.write(userInfo.getBytes());

解决方案:

fos = openFileOutput(filename, MODE_PRIVATE);

4. Webview的Javascript执行权限

开通Webview的Javascript执行权限意味着为XSS开通了后门,页面的渲染有可能会被反射XSS,存储XSS和DOM XSS所劫持。如下代码片段开通了Javascript权限:

WebView myWebView = (WebView) findViewById(R.id.webView);
WebSettings webSettings = myWebView.getSettings();
webSettings.setJavaScriptEnabled(true);

这样,恶意代码可以通过如下的方式攻击你:

function updateDescription(newDescription) {
    $("#userDescription").html("

"+newDescription+"

"); }

5. Webview暴露Javascript接口

在Android代码中使用JavaScript接口,将会暴露本地的API。只要加一个XSS触发器,JavaScript代码就可以调用你的Java类。如下代码片段:

WebView myWebView = (WebView) findViewById(R.id.webView);

myWebView.addJavascriptInterface(new FileWriteUtil(this), "fileWriteUtil");

WebSettings webSettings = myWebView.getSettings();
webSettings.setJavaScriptEnabled(true);

[...]
class FileWriteUtil {
    Context mContext;

    FileOpenUtil(Context c) {
        mContext = c;
    }

    public void writeToFile(String data, String filename, String tag) {
        [...]
    }
}

总结

代码扫描只是一种手段,毕竟规则有限,我们不能过分依赖。正在的移动安全还是需要我们的移动开发者增强安全意识,提高自己的代码防范能力,从而从代码源头避免安全漏洞。作为测试人员,也应该积极了解移动安全的常见漏洞,这样可以及早发现App的安全风险,保证产品的安全。

你可能感兴趣的:(如何使用FindBugs进行安全扫描)