基于fortify + DVWA / Pikach靶场的代码审计实验

已于 2025-05-10 09:48:22 修改
阅读量590 收藏 16
点赞数 26
分类专栏: 代码审计与Web安全 文章标签: 安全 学习
于 2025-05-10 09:35:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79841911/article/details/147847599
版权

1 审计工具Fortity信息

Fortify 全名为 Fortify SCA(Source Code Analysis),Fortity的核心功能是通过静态代码分析技术,帮助开发人员在软件开发过程中发现潜在的安全漏洞。Fortity支持多种编程语言,包括 Java、C/C++、Python、PHP 等。

Fortity工具主要功能总结见表1-1。

功能类别

Fortify功能描述

多语言支持

支持 Java、C/C++、Python、JavaScript、PHP 等多种主流编程语言,满足不同开发需求。

漏洞检测范围

能够检测超过 961 个漏洞类别,覆盖 OWASP Top 10、CWE/SANS Top 25 等安全标准。

快速扫描

1 分钟可扫描约 1 万行代码,适合大规模代码库的快速分析。

精准定位

通过数据流、语义、结构、控制流、配置流五大分析引擎,精准定位漏洞产生的路径。

自定义规则

用户可编写自定义规则库,适应特定开发需求,提高分析的针对性。

集成能力

支持与主流 IDE(如 Eclipse、IntelliJ IDEA)、构建工具(如 Maven、Gradle)以及缺陷管理平台(如 Jira)集成。

详细报告

提供详细的漏洞报告,包括漏洞描述、修复建议等,帮助开发人员快速理解和修复问题。

表1-1 Fortity软件整体介绍

2 Fortity软件安装

2.1系统环境

Fortity源码审计系统对计算机系统环境及配置有一定要求,本次实验环境及计算机配置如图所示。

图2-1 系统环境信息

2.2安装Fortity软件

访问Fortity下载链接获取安装包,Fortity软件的下载地址为:https://jayden.matchcess.com/2021/02/23/java/security/Fortify%20SCA%E6%BA%90%E4%BB%A3%E7%A0%81%E6%89%AB%E6%8F%8F%E5%B7%A5%E5%85%B7/

图2-2 下载文件

将下载得到的压缩包解压至本地指定目录,确保下载的所有文件完整之后完成解压,解压安装包后,双击 Fortify_SCA_and_Apps_20.1.1_windows_x64.exe文件进行安装。

图2-3 解压后的源文件

进入Fortity安装程序,点击Next

图2-4 安装界面

阅读并且点击同意软件使用协议,点击Next

图2-5 安装软件协议界面

选择软件安装路径,安装路径可以进行自定义选择,完成后点击Next。

图2-6 安装选择路径界面

选择安装软件的具体插件,可根据实验与使用的具体需求进行勾选,完成后点击Next。

图2-7 安装插件界面

软件License路径选择,默认即可,完成后点击Next。

图2-8 安装许可证选择路径界面

设置更新服务器相关信息,无需更改,点击Next。

图2-9 更新服务器配置界面

SCA Migration选项为No,点击Next

图2-10 SCA Migration界面

Samples选修选择Yes即可,点击Next。

图2-11 Samples界面

设置均完成准备后,点击Next。

图2-12 安装界面

等待安装,完成后,点击Next。

图2-13 安装界面

安装完成,点击Finish。

图2-14 完成安装界面

将破解文件拖动至安装路径,点击Next。

图2-15 破解操作

点击安装目录下/bin/scapostinstall.cmd,按照提示依次输入:2、1、1、q切换为中文。

图2-16 Cmd界面

在文件安装目录在找到Fortify.license,修改时间2025-02-04为其他距今较远的时间即可。

图2-17 License修改与替换

时间完成替换后如下图显示,即完成破解。

图2-18 License完成替换

在安装目录下点击auditworkbench.cmd,等待软件运行。

图2-19 运行界面

Fortify完成运行进入主界面。

图2-20 Fortify主界面

在options中找到对应选项进行简体中文进行切换。

图2-21 更新文本界面

等待后完成替换,扫描结果中由中文替换。

图2-22 中文文本

此时完成Fortify安装,并且相关设置全部完成。

图2-23 Fortify软件界面

3 Fortity软件使用

3.1 DVWA靶场环境

DVWA (Damn Vulnerable Web Application) 是一个用于渗透测试和漏洞利用的 Web 应用程序,包含了多种常见的 Web 安全漏洞,适合渗透测试人员进行漏洞分析与利用练习,实验中搭建用作Fority工具进行代码审计的对象。

完成下载后将 DVWA 解压到 phpStudy 的安装目录 phpStudy_pro/WWW/文件目录下 ,路径为安装路径下的phpstudy\phpstudy_pro\WWW。

图3-1 DVWA文件夹

找到 DVWA-master 文件目录下的 config 配置文件,路径为安装路径下的phpstudy_pro\WWW\DVWA-master\config

将 config.inc.php.dist 复制到原路径并重新命令为 config.inc.php

图3-2 DVWA文件夹config修改

用记事本打开重命名后的 config.inc.php 文件。将数据库的用户名与密码都修改为“dvwadvwa”。保存文件后关闭即可。

图3-3 config修改数据库密码

小皮面板打开网站,并且创建新网站,命名为dvwa,修改端口避免重复占用,点击管理并打开网站,即可进入靶场。

图3-4 config修改数据库密码

或者打开浏览器直接输入“http://dvwa:8089/index.php”,也可以进入靶场。如图,登录账户和密码为默认用户名:admin,默认密码:password。

图3-5 DVWA输入账户密码

输入正确后进入靶场。

图3-6 DVWA靶场界面

3.2 Fortity扫描与实战

我们打开fortify使用advanced Scan完成环境配置后,进入软件网站界面。

图3-7 Fortify软件界面

通过工具栏中的路径选择选项,进入目标靶场DVWA环境中的审计源码的绝对路径中进行选择。

图3-8 Fortify工具选择审计源文件夹

系统自动加载指定目录下的源码文件,并且进入配置选择界面,点击Next。

图3-9 扫描配置选项

进入深一层配置界面,可以自行增减相关关键字等内容,保持默认,点击Next。

图3-10 配置界面

选择对应选项默认即可,点击Sacn。

图3-11 自定义选项

等待扫描。

图3-12 等待扫描

接下来,对整个系统进行扫描,弹出提示窗口,完成扫描后进入下界面。

图3-12 扫描结果

完成扫描后,DVWA所有文件中的漏洞扫描结果进行展现,可以看到具体承载漏洞的数量等信息,左侧筛选栏可以对扫描结果进行筛选。

图3-13 筛选扫描结果

完成扫描后,DVWA所有文件中的漏洞扫描结果中涉及的代码片段,都可以具体查看并分析。

图3-14 部分扫描结果代码展示

完成扫描后,DVWA所有文件中的漏洞扫描结果中涉及的代码片段,都可以具体查看并分析,具体分析如下。

图3-15 部分扫描代码结果细节展示

选取常见的漏洞,如SQL注入漏洞,如下进行查看。

图3-15 部分扫描代码结果细节展示

3.3 Fortity扫描结果验证

选择靶场对应的模块,对靶场进行SQL注入,使用以下语句进行注入:

1' union select version(),@@version_compile_os#

进行SQL注入后,可以回显数据库版本信息等,显然存在SQL注入漏洞,与Fortify扫描得到的结果相同。

图3-16 SQL注入回显

4 参考文献

[1] 孟宪勇, 张伟. 基于Fortify SCA的GB/T 3494X源码审计规则研究与应用[J]. 计算机应用文摘, 2024, 40(12):41-43

基于Fortify SCA的GB/T3494X源码审计规则研究与应用
[2] Damn Vulnerable Web Application (DVWA) 项目[OL]. GitHub.  GitHub - digininja/DVWA: Damn Vulnerable Web Application (DVWA).
[3] OWASP. OWASP Top Ten – 2017[OL]. OWASP Foundation, 2017. https://owasp.org/www-project-top-ten/.
[4] 王志刚. Web安全攻防实战[M]. 北京: 电子工业出版社, 2010: 1-300.

5 反思总结

通过本次基于Fortify的代码安全审计实验,加深了我对代码安全审计的理解。实验中,我使用Fortify工具,按照实验指导手册中的操作流程,对准备好的DVWA/Pikach靶场源代码进行审计。

Fortify 作为一款专业的代码审计工具,其强大的功能在实验中得到了充分展现。我学会了如何使用它进行静态和动态应用程序安全审计。在静态审计过程中,Fortify 能够快速扫描源代码,识别出潜在的安全漏洞,如 SQL 注入、跨站脚本攻击(XSS)等常见漏洞类型。通过与 DVWA/Pikach 靶场的结合,我看到了应用程序在运行时的真实行为表现,以及如何触发那些静态审计发现的漏洞。例如,在 DVWA 的 SQL 注入低级防护场景中,我通过动态审计观察到攻击者如何构造恶意 SQL 语句,绕过简单的输入验证,篡改数据库内容,这让我对漏洞的危害有了更直观的认识。同时,我也掌握了运行时应用程序监控的基本方法,学会了如何设置监控点,实时查看应用程序的运行状态,及时发现异常行为并进行预警,这对于后续的防护措施制定提供了有力支持。

今后的学习过程中,我也会加强对网络安全漏洞原理和防御技术的学习,通过实践积累更多的经验,为今后从事相关工作打下坚实的基础。

fortify+DVWA靶场和动态IAST审计JAVA靶场
抗争小青年的博客
05-07 2176
fortify+DVWA靶场和动态IAST审计JAVA靶场
fortify+DVWA靶场
weixin_53150482的博客
04-18 688
然后我们点击 exe 程序来帮助我们下载。我们可以在这里发现一个 SQL 注入漏洞。等扫描完成后,我们进行代码审计即可。现在我们开始审计 DVWA 靶场。完成后我们就可以获取到一份报告了。下载好压缩包后,解压到本地。现在我们开始审计另一个漏洞。现在我们就可以导出报告了。
如何在Windows11系统中建立基于fortify+DVWA/Pikach靶场的审代码审计(保姆级教程)
qq_74706597的博客
04-15 769
Fortify是Micro Focus旗下AST(应用程序安全测试)产品,其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Center是软件安全中心(SSC)和Application Defender是实时应用程序自我保护(RASP)。Fortify能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。
实验fortify+DVWA靶场和动态IAST审计JAVA靶场
m0_73953547的博客
04-20 636
回车,接着输入命令curl -sSL https//get.daocloud.io/docker | sh。通过本次实验,我掌握了Fority的安装及使用,还有PHP各种漏洞的代码审计。打开网站http://127.0.0.1:81,如下图所示即安装成功。以及Java系列的代码审计,还遇到了不少问题,但大部分得到了解决。然后点击tools,需要导出审计报告,然后需要进行几个选择。查看相关细节,如下图,点击details。安装成功,如下图,并输入密码进行登录。然后开始实验,点击add agent。
中北大学-代码审计
yyj888999的博客
10-18 1386
软件学院代码审计课程,这是我在学习过程中的笔记,东西比较杂,肯定也会有不对的地方,可能会有你想搜的东西,希望对大家有所帮助,也欢迎大家指正,一起学习和交流
引言:Client Hello 为何是 HTTPS 安全的核心?
2501_90994755的博客
05-10 579
Cipher Suites TLS_AES_256_GCM_SHA384 TLS 1.3 仅保留 5 个强密码套件,而 TLS 1.2 支持数十种(需谨慎过滤弱算法)openssl s_client -connect example.com:443 -tls1_3 # 手动测试 TLS 1.3。使用 TLS_RSA_WITH_3DES_EDE_CBC_SHA(3DES 算法已过时,易受 SWEET32 攻击)。欢迎在评论区分享经历!
端口安全讲解
rzy41880的博客
05-07 1319
‌MAC地址绑定机制‌端口安全通过记录连接到交换机端口的设备MAC地址,仅允许已授权的MAC地址通信。未绑定的设备接入时,系统会根据预设策略阻断或告警。‌安全MAC类型‌‌静态绑定‌:管理员手动配置允许的MAC地址列表;‌动态绑定‌:交换机自动学习首个接入设备的MAC地址并锁定;‌Sticky MAC‌:动态绑定基础上支持断电后保留绑定关系。类型定义特点安全动态MAC地址仅开启端口安全转换的MAC地址。设备重启后表项会丢失,需要重新学习
PHP API安全设计四要素:构建坚不可摧的接口防护体系
最新发布
每日一贴
05-11 430
分层防御:不要依赖单一安全措施,采用多层次防护最小权限原则:只授予必要的API访问权限定期轮换密钥:定期更换API密钥和加密密钥详细日志记录:记录所有API请求用于审计和分析API版本控制:通过版本号管理接口变更输入验证:严格验证所有输入参数错误处理:避免暴露敏感信息的错误消息通过实施这些安全措施,您的PHP API将能够抵御大多数常见攻击,确保数据传输的安全性和完整性。
7.2.安全防御
2301_79902294的博客
05-07 940
• 密码存储:BCrypt与Argon2算法实现(Spring Security) • 多因素认证(MFA):TOTP集成(Google Authenticator API) • 生物识别安全:活体检测与本地存储(Android Biometric API)• 数据库加密:透明数据加密(TDE)、字段级加密(Jasypt) • 文件存储安全:权限控制(Linux ACL)、客户端加密(WebCrypto API) • 备份与恢复策略:异地加密备份(AWS S3 + KMS)-- 身份证号 -->
中级注册安全工程师的《安全生产专业实务》科目如何选择专业?
m0_60557936的博客
05-07 561
中级注册安全工程师的《安全生产专业实务》有 7 个专业方向,选择时可考虑以下几个方面:
渗透测试行业术语2
2301_76419201的博客
05-09 1319
内生安全有三个特性,即依靠信息化系统与安全系统的聚合、业务数据与安全数 据的聚合以及 IT 人才和安全人才的聚合,从信息化系统的内部,不断长出自适 应、自主和自成长的安全能力。根据 Gartner 的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标 示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危 害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。这样一来,这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的, 从而使得客户所在网络的暴露面大大降低。
AI安全之对抗样本攻击---FGSM实战脚本解析
ccstuck的专栏
05-10 433
对抗样本(Adversarial Examples)是深度学习安全领域的重要研究课题,快速梯度符号方法(FGSM)是生成对抗样本的经典算法。FGSM通过沿梯度正方向施加扰动,构造出使模型产生错误判断的输入样本,同时确保扰动在人类视觉感知中与原始样本无明显差异。本文通过实战代码详细解析了FGSM的实现过程,包括输入参数配置、受攻击模型定义、FGSM攻击算法实现及测试函数。实验结果表明,随着扰动系数ε的增加,模型准确率显著下降,而扰动也逐渐变得可见。通过可视化对抗样本,展示了不同ε值下模型分类结果的变化,验证了
一种安全不泄漏、高效、免费的自动化脚本平台
m0_62259629的博客
05-09 1176
冰狐智能辅助(IceFoxIntelligentAssistant)是一款基于JavaScript的自动化脚本开发工具,旨在降低自动化开发门槛,适用于Android系统(7.0及以上)。其核心功能包括低代码开发、多场景覆盖、云服务集成和跨平台兼容,广泛应用于电商运营、社交媒体、游戏脚本等领域。冰狐智能辅助在安全性上采取多层次防护策略,如本地脚本存储与加密、隐私保护机制、权限精细化控制和卡密功能,确保用户数据与脚本内容的安全。其免费策略通过基础功能开放+增值服务收费实现可持续发展,核心功能零成本,社区生态支持
实时操作系统:航空电子系统的安全基石还是创新枷锁?
望获实时Linux系统
05-08 1664
实时操作系统的发展历程,实际上是一部在确定性、安全性、创新性之间寻求平衡的进化史。当我们站在 25000 米高空俯瞰这场技术革命,一方面要为纳秒级的时间精度、六个九的可靠性、开源社区的创造力等成就喝彩;另一方面也要保持清醒头脑,思考在 RTOS 赋能飞行器智能化的过程中,如何应对随之而来的安全挑战,以及在拥抱人工智能与量子计算等前沿技术时,如何守住航空安全的生命线。这些问题的答案将决定 RTOS 技术演进的未来方向,也将书写人类征服蓝天的下一段传奇。
限免开关实施版本保护措施,保证项目灰度发布安全
2301_78947898的博客
05-06 1112
 迭代用户限免权限校验业务 新增限免开关实现普通用户权益更新,实施版本保护措施,保证项目灰度发布安全
大数据狙击金融欺诈——技术如何守护交易安全
Echo_Wish
05-09 166
金融领域一直是欺诈行为的“重灾区”,从传统的信用卡盗刷到精心策划的网络诈骗,攻击者不断进化手法,使得防御变得越来越复杂。然而,**大数据技术**的出现,让金融欺诈检测从**被动防守**转向**主动狙击**,通过深度学习、行为分析和实时监控,金融机构得以识别复杂的欺诈模式,并在问题发生前预警。
全球实物文件粉碎服务市场洞察:合规驱动下的安全经济与绿色转型
qyresearch_的博客
05-09 740
在数字化转型浪潮中,全球企业每年仍产生超过1.2万亿页纸质文件,其中包含大量机密数据、客户隐私及商业敏感信息。据QYResearch预测,2031年全球实物文件粉碎服务市场规模将达290.4亿元,年复合增长率2.9%,中国市场增速领跑全球,预计2031年全球占比将突破15%。未来,服务商需以技术创新突破物理销毁的局限性,通过数据智能、垂直场景深耕与生态化服务,将文件销毁转化为企业信任资产与可持续发展竞争力。唯有将合规性、安全性与可持续性深度融合,方能在全球数据安全与绿色经济浪潮中抢占先机。
Linux远程管理完全指南:从网络配置到安全连接
XYL6AAD8C的博客
05-07 902
掌握Linux远程管理是运维工作的核心技能。从基础网络配置到SSH安全连接,每一步都关乎系统安全与效率。通过本文的指南,你可以轻松实现静态IP设置、Vim高效编辑、SSH远程访问及安全加固。附:命令速查表场景命令示例查看IP地址ifconfig或ip a设置静态IP编辑重启网络服务SSH远程连接生成SSH密钥。
2025数字中国创新大赛-数字安全赛道数据安全产业积分争夺赛决赛Writeup
末初 - mochu7
05-07 1025
2025数字中国创新大赛-数字安全赛道数据安全产业积分争夺赛决赛Writeup
16进制配色转RGB配色
01-17
16进制配色转RGB配色的原理是将16进制颜色值转换为对应的RGB颜色值。具体的转换方法如下: 1. 将16进制颜色值拆分为红、绿、蓝三个通道的值。每个通道的值由两个16进制字符表示,范围从00到FF。 2. 将每个通道的16进制值转换为十进制值。可以使用以下公式进行转换: - 十进制值 = 第一个16进制字符 * 16 + 第二个16进制字符 3. 得到红、绿、蓝三个通道的十进制值后,即可得到对应的RGB颜色值。 以下是一个示例代码,演示了如何将16进制配色转换为RGB配色: ```python hex_color = "F26BC1" red = int(hex_color[0:2], 16) green = int(hex_color[2:4], 16) blue = int(hex_color[4:6], 16) rgb_color = (red, green, blue) print("RGB color:", rgb_color) # 输出:RGB color: (242, 107, 193) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值