Fortify SCA 分析代码漏洞全解

最新推荐文章于 2024-03-04 09:00:00 发布
VIP文章 最新推荐文章于 2024-03-04 09:00:00 发布
阅读量7.8k 收藏 7
点赞数 2
分类专栏: 架构设计 文章标签: 漏洞 eclipse插件 代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011340807/article/details/28887359
版权
上次介绍了用FindBugs辅助分析代码漏洞,这次换了一个工具:Fortify SCA Demo 4.0.0。Fortify是一个在安全方面挺出名的公司,这里就不多说了。先介绍一下主角:Fortify SCA Demo 4.0.0,虽然现在不知道Fortify SCA的版本是多少,但可以肯定的是,Fortify SCA Demo 4.0.0是一个比较旧的Fortify SCA分析器了,并且还是Demo版的,所以无论是界面还是功能上都是比较简陋的。由于Fortify SCA不是开源的工具,这里就不提供下载了,大家可以上Fortify主页申请:>。

  这次演示的是用Fortify SCA静态分析Java代码,和FindBugs不同的是Fortify SCA还可以静态分析C/C++,.NET和PL/SQL等代码。

一.Fortify SCA静态分析原理

  由于我不是写这个东东的人,并且接触这个工具时间也有限,所以对它的工作原理认知比较浅,很多是通过它的说明文档得来的。

  Fortify SCA静态分析分两个阶段:

  1.Translation:

    把各种语言的源代码转为一种统一的中间语言代码。

  2.Analysis:

    根据中间代码分析代码漏洞,并得出报告。

  Fortify有很多个语言转换器,但核心的静态分析引擎只有一套。

二.Fortify SCA的使用

  先看看Fortify SCA Demo 4.0.0的目录:

  

最低0.47元/天 解锁文章
何泽江
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hadoop架构设计、运行原理详解
何哲江的专栏
04-28 3806
1、Map-Reduce的逻辑过程 假设我们需要处理一批有关天气的数据,其格式如下: 按照ASCII码存储,每行一条记录每一行字符从0开始计数,第15个到第18个字符为年第25个到第29个字符为温度,其中第25位是符号+/- 0067011990999991950051507+0000+ 0043011990999991950051512+0022+ 00430119
Fortify分析翻译10
flashtree的专栏
09-02 3100
 25.Denial of service(Data Flow): 25.1.源文件:Metronome.java 代码:sleep(thisTime); 25.2.原文:An attacker could cause the program to crash or otherwise become unavailable to legitimate users. 翻译:攻击者可以使程序崩溃,否则
Fortify漏洞之Sql Injection(sql注入)
永不垂头的博客
01-04 463
本篇先对Fortify做个简单的认识,同时总结一下sql注入的漏洞
代码审计工具之Fortify安装以及初步使用
最新发布
ZL_1618的博客
03-04 1192
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Fortofy扫描安全漏洞解决——Portability Flaw: File Separator (Code Quality, Data Flow)
weixin_52536274的博客
12-21 504
Fortofy扫描安全漏洞解决——Portability Flaw: File Separator (Code Quality, Data Flow)问题的解决
解决Fortify漏洞:Access Specifier Manipulation
林夕
06-05 946
Fortify 是一种静态代码分析工具,可用于识别源代码中的安全漏洞和错误。Fortify 检查程序是否存在潜在的安全漏洞,例如 SQL 注入、跨站点脚本攻击、缓冲区溢出、身份验证问题等。Fortify 使用一种名为“规则”的机制来检测这些漏洞。每个规则都是一个静态的模式匹配器,用于识别源代码中的特定模式或结构。当 Fortify 发现与规则匹配的代码时,它将生成一个安全漏洞警报,指出可能存在的风险并提供修复建议。
代码审计篇】 代码审计工具Fortify基本用法详解
做自己喜欢的事,并将其发挥到极致!
02-08 9961
Fortify全名叫Fortify SCA ,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款Web漏洞扫描器,叫做 Webinspect。美国的Fortify、Coverity、Codesecure、IBM AppScan Source 以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,那么接下来就Fortify来介绍一下使用方法。
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
Fortify SCA分析代码漏洞1
muyunyu1的专栏
07-09 2217
Fortify SCA分析代码漏洞   上次介绍了用FindBugs辅助分析代码漏洞,这次换了一个工具:Fortify SCA Demo 4.0.0。Fortify是一个在安全方面挺出名的公司,这里就不多说了。先介绍一下主角:Fortify SCA Demo 4.0.0,虽然现在不知道Fortify SCA的版本是多少,但可以肯定的是,Fortify SCA Demo 4.0.0是一个比较
Introducing_SCA,sca入门介绍
omyrice的专栏
02-03 734
SCA 基础什么是应用程序?我们可以认为它是一组软件构件组合并协作。所有的这些组件可以是用相同或者完全不同的技术。他们可以在同一进程里跑,或者在同一机器上的不同进程,还可能通过了两台或两以上连接的。但是,作为一个应用程序来说必需是有规则的,它必须包括两部分:创造组件的方法和将它们连接在一起的描述机制。Service Component Architecture(SCA)定义了一种通常情况下
fortify java_Fortify SCA扫描JAVA源代码结果总结
weixin_39929813的博客
02-15 550
1.SQL注入在输入的字符串之中注入恶意的SQL指令,这些注入的指令会被数据库误认为是正常的SQL指令进行执行,是系统遭到破坏。例:String selectid="select"+id+" from StuInfo ";或:String selectid="select id from StuInfo where id="+id;上述两句SQL查询语句没有对输入进行限制,用户可以随意输入任意字符...
Spring Boot学习之Spirng Boot项目启动方式
xiaoyiyi的博客
03-05 105
1.run 2.mvn spring-boot:run 3.mvnclean package Dmaven.test.skip(跳过测试类,打包项目所需的jar包) 在target目录下,Java -jar 包名.jar
2020年fortify SCA最新rules.zip
07-08
该规则是fortify2020最新规则更新,可以添加到fortify中进行代码静态扫描,进行代码漏洞bug静态分析,提醒开发人员进行漏洞修复
Fortify SCA 20.1.1代码审计
06-15
Fortify SCA 20.1.1代码审计Fortify SCA 20.1.1代码审计 Fortify SCA 20.1.1代码审计Fortify SCA 20.1.1代码审计 Fortify SCA 20.1.1代码审计Fortify SCA 20.1.1代码审计 Fortify SCA 20.1.1代码审计Fortify SCA ...
代码审计神器Fortify - Fortify SCA 20.1.1
12-24
它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。...
Fortify SCA 19.zip
04-06
代码审计工具Fortify SCA 安装包v19
Fortify SCA 代码规则库-支持Java
02-27
Fortify SCA 代码规则库-支持Java,静态代码扫描 Fortify在线规则库网址,符合代码安全的编码参考 Fortify SCA Java
Apache与weblogic整合实战(独家研究)
何哲江的专栏
04-30 3073
用apache来处理外界的请求,再把请求转发给wls,这样就能够突破wls express版本的5用户限制 具体配置如下 copy ${WLS_Server}/server/lib下的mod_wl_20.so到${apache_home}/modules下 修改httpd.conf文件 LoadModule weblogic_module modules\mod_wl_20.so
fortify sca
07-29
"Fortify SCA" 是一种软件安全性解决方案,可帮助开发团队检测和修复应用程序中的安全漏洞。这个解决方案包含一系列的静态代码分析工具,能够扫描源代码以发现潜在的安全漏洞,如缓冲区溢出、代码注入等。使用"Fortify SCA"可以帮助开发人员加强应用程序的安全性,防止黑客攻击和数据泄露。 "Fortify SCA"能够对源代码进行深入的分析,并提供高度准确的漏洞检测和报告。它可以识别出潜在的漏洞并给出相应的修复建议,帮助开发人员及时修复这些问题,减少安全风险。 除了静态代码分析工具,"Fortify SCA"还包含一些其他功能,如漏洞追踪、漏洞管理和报告生成等。这些功能可以帮助团队高效地管理安全相关的问题,并确保及时解决潜在的安全风险。 总之,"Fortify SCA"是一种强大的软件安全性解决方案,它可以帮助开发人员提高应用程序的安全性,减少潜在的漏洞和安全风险。通过使用"Fortify SCA",开发团队可以及时发现和修复安全漏洞,确保应用程序的稳定性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值