商业级别Fortify白盒神器介绍与使用分析

最新推荐文章于 2024-05-07 10:07:00 发布
最新推荐文章于 2024-05-07 10:07:00 发布
阅读量1.5k 收藏 2
点赞数

转自:http://www.freebuf.com/sectool/95683.html

什么是fortify它又能干些什么?

答:fottify全名叫:Fortify SCA ,是HP的产品 ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。

它支持扫描多少种语言?

答:FortifySCA支持的21语言,分别是:     

1. asp.net     
2. VB.Net     
3. c#.Net     
4. ASP     
5. VBscript     
6. VS6     
7.java     
8.JSP     
9.javascript     
10. HTML     
11. XML     
12. C/C++     
13.PHP     
14.T-SQL     
15.PL/SQL     
16. Action script      
17. Object-C (iphone-2012/5)     
18. ColdFusion5.0 - 选购     
19. python -选购     
20. COBOL - 选购     
21.SAP-ABAP -选购

他是免费的吗?

答:不是,是收费的。当然网上也没有破解的。貌似他一个月收费10万。

如何使用?

安装fortify之后,打开

1.png

界面:

Image.png

选择高级扫描

Image.png

他问要不要更新? 我就选择No,因为这是我私人的,我是在2015年7月份购买的试用期为1个月。怕更新了就用不了了。如果你购买了可以选择YES。

选择之后出现如下界面

Image.png

浏览意思是:扫描之后保存的结果保存在哪个路径。

然后点击下一步。

Image.png

参数说明:

enable clean :把上一次的扫描结果清楚,除非换一个build ID,不然中间文件可能对下一次扫描产生影响。
enable translation: 转换,把源码代码转换成nst文件
-64: 是扫描64位的模式,sca默认扫描是32位模式。
-Xmx4000m:4000M大概是4G,制定内存数-Xmx4G :也可以用G定义这个参数建议加
-encoding: 定制编码,UTF-8比较全,工具解析代码的时候指定字符集转换的比较好,建议加,如果中文注释不加会是乱码。
-diable-source-:rendering:不加载与漏洞无关的代码到审计平台上,不建议加,这样代码显示不全。

然后点击下一步

Image.png

它说:这是一个J2EE Web应用

选择No    (因为你扫的是PHP)

然后scan(开始扫描)

Image.png

Always run in background 意思:总是在后台运行

run in background 意思:后台运行

cancel 意思 : 取消

Details 意思:细节

扫完之后:
 

I$@Q`AUNPD}~4YZ$T}RGJ$V.png

none 代表其他 1个
A1 注入 7个 
A3 xss 37个
A4 不安全的直接对象引用 35个
A6 敏感数据暴露 4个
A10 未验证的重定向和转发 2个

如果发现是英文的,想改成如下方法中文:

Image.png

以下是官网提供的分析图:

Image.png

分析漏洞:

none漏洞:

NE%G$Q7(V(OWCK}SG8LP3MD.png

这是一个可变变量,按照中国人说法简称:“变量覆盖”。

讲一下这个漏洞的原理:

可变变量

$first ="hello";
$hello ="world";
echo $first." ".$$first;

结果是 hello world

$$first就是$hello,因为$first的值是hello

———————————但是在foreach 就不一样了—————————————————–

<?php
$a = 'sss';
foreach ($_GET as $key => $value) {
     //如果在foreach那就不一样了
     echo $$key;  //将$$区分开 然后$key 等于键 然后开始合并 比如打开http://www.com.com/demo.php?a=值 就变成了$a  因为$key的键是a 所以就变成了$a
     $$key = $value;//$a = 值  替换变量
    
}
echo '<hr '>';
echo $a;
?>

Image.png

{]9T}6N7VN]M$5MRHC2T6~N.png

A1 注入漏洞:

]WS{P]@%K%~33)]6X]_(94Q.png

发现$c变量是由客户端进行GET请求控制的。

safe_replace函数过滤如下字符:

function safe_replace($string) {
$string = str_replace('%20','',$string);
$string = str_replace('%27','',$string);
$string = str_replace('%2527','',$string);
$string = str_replace('*','',$string);
$string = str_replace('"','"',$string);
$string = str_replace("'",'',$string);
$string = str_replace('"','',$string);
$string = str_replace(';','',$string);
$string = str_replace('<','<',$string);
$string = str_replace('>','>',$string);
$string = str_replace("{",'',$string);
$string = str_replace('}','',$string);
$string = str_replace('\\','',$string);
return $string;
}

include $c.".php";  但是后面有个.php是拼接的。

但是如果php版本小于5.3.40可以采用空字节也就是%00的二进制视作字符串的结束,按照其他说法的话也就是截断。。。。。

K)L(HC`1_UPCWPPZH_IDK]U.png

33TSUWKR(W1{KV5$7)RMYKA.png

A3 xss 漏洞

$field_sql="update ".DB_PRE."member set {$field_sql} where userid={$last_id}";
$query=$this->mysql->query($field_sql);

~NAEKD]S_[TYWFJ1K]N@]5K.png

写入数据库的时候没有任何限制或者输出的时候没有做任何的过滤就直接输出导致造成了XSS。(我就不一一解释了)

W[QZG7AU1S%CAJ8TCRDFLLE.png

A4 不安全的直接对象引用漏洞

AQ(5Q9UM78QECELLH6H%ES4.png

文件上传次数未做策略,可导致攻击。

U9FJP_3`A5[4}G$`VFT)II6.png

A6 敏感数据暴露漏洞:

R8H_JLQ8J5LS)L2EEJ)HV$W.png

A10 未验证的重定向和转发漏洞:

这里我就不去定位看谁使用这个函数了,懂点PHP的人相信都懂。。

`B5$1_I{[5C`_)13MUE}@ZV.png

整个过程基本已经结束了,但是有点我想提醒大家,在设置内存的时候如果你不设置内存他会自动帮你设置,比如你的电脑内存是8G 他就自动设置为8G 然后就会占用你8G内存,然后搞得你电脑卡卡卡卡卡卡卡的。下次扫之前记得要设置你的内存,如果你电脑是8G内存 设置7G就好了,还剩下1G就可以玩4399小小游戏了。 ~_~ 

hxpjava1
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
源码扫描工具Fortify SCA和FireLine对比说明
toto1222的专栏
07-19 2804
一、Fortify SCA 1.1软件简介 Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源代码的安全问题。由于它是一款商业软件,这里只找到了一个早起的版本(V5.1)进行测试。 Fortify SCA主要的特性和优点如下: 1、业务最完整的静态代码分析器,以最大和最全面的安全编码规...
Fortify
weixin_40798236的博客
12-14 1064
Fortify系列产品,在国内市场常用的俩款软件: **Fortify Webinspect****动态漏洞检测,**提供复杂web应用程序和服务的全面动态分析 Fortify StaticCodeAnalyer(CSA)静态代码漏洞检测,识别软件开发过程中的安全漏洞。 Static Code Analyzer Micro Focus提供了SCA自动化静态代码分析解决方案,帮助开发人员消除漏洞,构建软件开发安全。 Micro Focus的静态代码分析(CSA)是静态应用程序安全测试(SAST)为开发小组和安
Fortify(SAST、DAST) 安全扫描测试
jinwu18的博客
08-12 413
sast、dast安全测试
Fortify 代码扫描安装使用教程
回忆式~过去.的博客
05-17 2万+
Fortify安装使用简易教程 双击安装应用程序 点击Next进行下一步 接受协议,点击Next 选择安装位置或者默认位置,点击Next 勾选你要安装的插件,点击Next下一步 选择\fortify.license,点击下一步 选择更新服务器,这里可以不用填写 移除之前版本选择NO 安装实例代码项目选择No 准备安装,点击Next即可进行安装 安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下 应用程序搜索Scan Wizard,双击Audit Work
代码审计神器Fortify - Fortify SCA 20.1.1
12-24
它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。...
安全测试工具fortify使用指南
03-11
### 安全测试工具Fortify使用指南 #### 一、Fortify简介 Fortify是Micro Focus旗下的应用程序安全测试(Application Security Testing, AST)产品之一,它涵盖了多种安全测试技术和工具,旨在帮助开发者和安全专家...
商业Fortify_SCA_and_Apps_19.1.0_windows_x64
01-28
商业Fortify白盒审计神器,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析分析的过程中与它特有的软件...
Fortify介绍使用教程
qq_40597962的博客
07-05 1万+
Fortify介绍使用教程 简介 Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。 原理 -首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),
Fortify SCA 安装使用手册
06-30
### Fortify SCA 安装使用...通过以上详细介绍,我们可以看到Fortify SCA不仅提供了强大的源代码安全分析能力,还为用户提供了详细的安装指南和故障排除方案,以确保用户能够顺利地使用该工具进行源代码的安全检查。
fortify for linux 4.4
05-13
4.4版本 2015年发布的,虽然有点老, 但还是能够使用
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
Fortify代码扫描工具
曰业而安的博客
12-26 1万+
一、Fortify介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使静态分析的准确度和高效性。 默认情况下,Fortify SCA使用安装的安全编码规则包来检查源代码,并定义一系列...
Fortify SCA快速入门以及常见问题解决方法
热门推荐
一个测试工程师的代码世界
10-15 5万+
本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态扫描测试。快速入门 规则库导入: 所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Cor
Fortify SCA安装以及卸载
weixin_40798236的博客
01-06 3028
一、About Installing Fortify Static Code Analyzer and Applications 描述了如何安装增强的静态代码分析器和应用程序。需要一个Fortify的许可证文件来完成这个过程。可以使用标准安装向导,也可以静默地执行安装。还可以在非windows系统上执行基于文本的安装。为了获得最佳性能,请尽量在扫描的代码驻留的同一本地文件系统上安装Fortify静态代码分析器。 注意:在非windows系统上,必须以拥有写权限的主目录的用户身份安装Fortify Stati
Fortify的安装使用
秃秃的测试
12-08 4811
一. 安装 双击运行安装程序,一路next...(记得更改安装路径或者自己记住安装路径) 到了这里,记得取消勾选更新 二. 添加规则库 打开解压文件夹,找到rules文件夹,全选复制 找到你Fortify的安装文件夹,将复制的规则库粘贴到规则库文件夹 路径:\Fortify_SCA_and_Apps_20.1.1\Core\config\rules。 ...
Fortify 安装与使用
u012766140的博客
05-06 1860
最近跟源码检测工具干上了,上期写了一篇sonarqube 工具的安装步骤,这期继续另一个源码检测工具fortify 安装与使用步骤。。提示:以下是本篇文章正文内容,下面案例可供参考fortify也是一款比较流行的源码检测工具,原理是将被检测语言(如JAVA/C/C++/C#源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)再进行检测。fortify支持的检测语言有:1、asp.net2、VB.Net3、c#.Net4、ASP5、VBscript。
Java安全代码审计介绍及扫描工具Fortify详解
02-24
本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计、Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在我们进行代码审计过程中能极大的帮助我们发现代码漏洞所在点,精准的定位和全面的扫描极大的减轻了我们在海量代码审计的工作。
代码审计神器Fortify SCA 保姆级教程
最新发布
Flag少侠的博客
05-07 2601
Fortify SCA(Software Security Center)是一款静态代码分析工具,由Micro Focus公司开发。它旨在帮助开发团队在软件开发过程中发现和修复安全漏洞和代码缺陷。Fortify SCA通过对源代码进行静态分析,识别潜在的安全问题和软件缺陷,提供准确的警告和漏洞报告。它支持多种编程语言,包括Java、C/C++、C#等,可以用于各种类型的应用程序,包括Web应用程序、移动应用程序和嵌入式系统。
Fortify SCA安装与使用详细指南
- 介绍如何使用Fortify SCA对项目进行安全扫描。 - 包含设置扫描参数和配置文件的说明。 3.2. 分析结果: - 解释如何解读扫描后的报告,找出并理解安全问题。 故障修复: 4.1. 调试问题: - 使用日志文件进行问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值