第37篇:fortify代码审计工具的使用技巧(1)-审计java代码过程

已于 2022-12-22 11:59:35 修改
阅读量2.8k 收藏 14
点赞数 5
分类专栏: 代码审计 文章标签: java 开发语言
于 2022-12-19 20:10:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/128379493
版权

0f7a2b0ad0f5dd6c1a46878c30fd4717.png

 Part1 前言 

在正式文章之前,插播一下:恭喜梅西圆梦,获得世界杯冠军,加冕球王,一场精彩绝伦的球赛。开心之后,还是要静下心学习的,我们也要继续努力。

Fortify全名叫Fortify SCA,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款很厉害的Web漏洞扫描器叫Webinspect。美国的Fortify、美国的Coverity、美国的Codesecure、美国的IBM AppScan Source以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,今天就讲一下fortify的使用吧,其它工具的使用后续再介绍。

Fortify对于新手是可以快速上手的,但是它绝不是一款傻瓜工具,它有很多的自定义操作,还有命令行操作,还可以自己编写规则库,这些都需要大家仔细阅读Fortify的说明书,再次强调一遍,仔细阅读说明书,后续ABC_123会抽时间慢慢讲。

求助:哪位朋友有Codesecure、IBM Security AppScan Source的破解版或者是试用版,方便的话发我试用一下,保证不用于商业目的,Thanks♪(・ω・)ノ

 Part2 具体使用过程 

  • Fortify的安装过程

安装过程比较简单,我就挑关键步骤讲解了。下载安装包之后,一直点击“下一步”就行,这里需要选择一个license文件foritfy.license。

52385b982e2ee264e9a539ed6febb9d8.png

接下来按照默认,一直点击“下一步”即可。

b9e85b200f830260334b93fe59b7a5f6.png

软件打开如下所示:

94e63bdfe8a6e5ad8f88a3435e6e17a2.png

  • 升级中文规则库

接下来重点看一下如何升级中文规则库。打开Audit Workbench快捷方式,在弹出的gui界面,点击Options选项,点开Security Content Management选项,点击Update Security Content - zh_CN选项可以升级Fortify的中文规则库。

33cb957393a8e6586b8183387fd9867d.png

出现以下弹窗,说明中文规则库升级成功。

1ceffec64d1fdb6e8357980a8ae7f4a6.png

如果受license限制,无法升级到最新的规则库,那么可以跟有商业版的朋友要一个最新版的中文规则库,手工对ExternalMetadatarules两个文件夹的文件进行替换。

54d626c80c951fa6cf08d6da4f1dc3ea.png

C:\Program Files\Fortify\Fortify_SCA_and_Apps_20.1.1\Core\config目录下,将以下文件进行替换。

45f9f98e84bde2e5ef47bd3de2875c67.png

再看一下Security Content Management配置,发现规则库已经不是2019年的,已经是2022年的。

11b5adfdb0a57f0592462f442193bd12.png

  • 审计Java代码过程

如果是java项目,可以直接点击“Scan Java Project”选项。

ca25b1826202ef8abed7e1159dfc684a.png

这里java version,可以选择web应用的java代码的所在环境的java版本,这里我们选择1.8。

ec63e8efecf4cf5a9c828cbc1e34e98c.png

如果扫描对象是Java web代码,就选择“Yes”,如果不是Java web,就选择No,其它的选项保持默认即可。

6dc3af43efa17f852907c6becbb6a8b4.png

接下来点击“Scan”,Fortify就开始对代码进行代码审计了。

9c58376669460a88b8d7522e218c2e74.png

这时候发现,对于webgoat源代码Fortify只扫描出了36个高危漏洞,为啥最基本的sql注入漏洞没扫描出来呢?重新理一下思路,Fortify扫描源代码漏洞前,是需要对源码编译的,没有jar包有些类肯定是编译不成功的

b9121daba876b7338e9a2ab5b85f6a30.png

  • 加载jar包重新扫描

接下来打开pom.xml查看web应用需要依赖哪些jar包,将所有需要jar包放到webgoat目录下即可,Fortify会自动识别和加载.jar文件。如果web应用所依赖的jar包太多,手工找起来太麻烦,可以直接解压编译后的.war文件或者springboot的.jar文件获取所有jar包文件。

5dc934dfd626108297beb70cb9ed2a96.png

重新运行fortify扫描一下,加载jar包后扫描出了81个高危漏洞,这样的扫描结果看起来还算是正常。

4aab9a5f0c7a65c6c15f0326c6a5cbc8.png

Fortify扫描结果展示界面如下:

d5d6503cfbf811d6dc9d3aaca059ee7d.png

  • 代码审计结果

Fortify的Diagram功能非常强大,以图表形式展示源代码中漏洞触发点的从开始到触发的所有过程,我们可以借助此功能,分析是否有过滤函数对漏洞触发的特殊字符进行了过滤。

8141fc9959aa2643e17c34d6603ab820.png

这个界面给出了中文的漏洞修补建议。

6081304ed822c6b2581f414ef0b04ba0.png

点击“Group By”按钮,可以以不同漏洞分类标准对漏洞进行不同的分类展示。

9043997e50a54392f903ea800ebdfb3d.png

如果遇到误报,可以选择“Hide in AWB”,对该漏洞结果进行隐藏。

09dac797b869b1a587b8bff86d8f9da2.png

最后是生成报告功能,这个功能我一般不用,只是作为参考,一般都是自己写代码审计报告。

2ebcd1e281c2816d956241689c1e02bd.png

  • 中文乱码解决

Fortify默认的编码不是UTF-8,导致部分中文的Java代码会出现乱码问题。如果是单文件乱码,可以使用Edit选项卡下的Set Encoding进行设置,鼠标光标在右侧代码框内点击一下,否则此项功能不能用,但是这种方法只适用于单个文件的乱码解决。

d4b885946a557468e9d2c55ef3e3e7be.png

如下所示,可以选择不同的文本编码,中文可选择UTF-8编码:

fa44680711bd82d0dfdb2b940be5aec1.png

如下图所示,乱码问题成功解决。

6c8b0882b91da07553ef744223438823.png

如果想一劳永逸解决乱码问题,只能在Fortify的配置文件中指定Java文件的编码了

C:\Program Files\Fortify\Fortify_SCA_and_Apps_20.1.1\Core\private-bin\awb\productlaunch.cmd在命令行最后添加-Dfile.encoding=utf-8。

4b75cde4807feff6af661dd44b7310d9.png

 Part3 总结 

1.  后续还会继续分享Fortify代码审计工具的使用教程,也会分享Checkmarx、Coverity等代码审计工具的使用教程,敬请期待。

37f34682e3ac2bcfc68ded7cbcd6e3ad.png

专注于网络安全技术分享,包括红队攻防、蓝队分析、渗透测试、代码审计等

每周一篇,99%原创,敬请关注

希潭实验室
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
FortifySCA详细介绍(一)
武天旭的博客
10-06 2万+
Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码使用代码创建中间文件,源代码与一个 Build ID相关联,Build ID通常就是项目名称。扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。确保所有源文件均包含在扫描过程中,使用的是正确的规则包,且没有报告重大错误。安全编码规则包是 Fortify Software 安全研究小组多年软件安全经验的体现,并且经过其不断努力改进而成。
源码扫描工具Fortify SCA和FireLine对比说明
toto1222的专栏
07-19 2765
一、Fortify SCA 1.1软件简介 Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源代码的安全问题。由于它是一款商业软件,这里只找到了一个早起的版本(V5.1)进行测试。 Fortify SCA主要的特性和优点如下: 1、业务最完整的静态代码分析器,以最大和最全面的安全编码规...
Fortify 安装及使用详解(中文版导出设置)
weixin_61240867的博客
07-18 1万+
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。语义引擎:分析过程中不安全的函数,方法的使用的安全问题。结构引擎:分析程序上下文环境、结构中的安全问题。
商业级Fortify_SCA_and_Apps_19.1.0_windows_x64
01-28
商业级Fortify白盒审计神器,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。
代码审计Fortify SCA 代码审计神器.
最新发布
网络安全领域___专研者.
06-02 1230
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
Fortify代码扫描工具
曰业而安的博客
12-26 1万+
一、Fortify介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使静态分析的准确度和高效性。 默认情况下,Fortify SCA使用安装的安全编码规则包来检查源代码,并定义一系列...
代码审计工具Fortify安装以及初步使用
热门推荐
weixin_52515588的博客
04-21 2万+
目录 1 Fortify Fortify工具介绍 1 Fortify Fortify工具介绍 Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。 安全编码规则中的规则分析受支持语言的核心和扩展的API包中的函数,并将分析结果记录在Fortify ..
Java安全代码审计介绍及扫描工具Fortify详解
06-12
本节课程中详细介绍了什么是Java安全代码审计Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在我们进行代码审计过程中能极大的帮助我们发现...
代码审计神器Fortify - Fortify SCA 20.1.1
12-24
[ 代码审计 ] Fortify安装及使用详解(一)Fortify安装并设置语言为中文导出中文报告 Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流...
第55天:代码审计-JAVA项目注入上传搜索或插件挖掘1
08-03
Fortify SCA(Software Composition Analysis)是另一款强大的代码自动审计工具,它不仅检查源代码,还能分析第三方库,查找已知的安全漏洞。Fortify SCA通过扫描项目中的所有文件,生成详细的报告,列出可能存在的...
代码审计工具Checkmarx安装环境和安装过程.pdf
01-29
Checkmarx是一款源自以色列的代码审计工具,专用于检测源代码中的安全漏洞。它采用.NET技术构建,并且其CsSAST组件仅支持Windows系统安装,而代码扫描引擎(Code Engine)则兼容Linux和Windows。Checkmarx的一大优势...
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
Fortify 是一款常用的代码审计工具,它可以自动检测代码中的漏洞,并提供修复建议。下面,我们将介绍 Fortify 代码审计中常见的扫描漏洞原理与修复意见。 1. 系统信息泄露(System Information Leak) 系统信息...
Java基础 | 专业排行榜前7的Java代码审计工具
ch98000的博客
09-02 5900
本文给出了上面的所有好的Java审计工具和基本使用方法,和各自特点,并且以上都很好用,都很优秀,如果能好好使用,可以让工作效率大大增加。
代码审计代码审计工具Fortify基本用法详解
做自己喜欢的事,并将其发挥到极致!
02-08 1万+
Fortify全名叫Fortify SCA ,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款Web漏洞扫描器,叫做 Webinspect。美国的Fortify、Coverity、Codesecure、IBM AppScan Source 以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,那么接下来就Fortify来介绍一下使用方法。
代码审计利器—Fortify_SCA_v23.2.0
2301_76786857的博客
01-15 2508
Fortify SCA的代码审计功能依赖于它的规则库文件,我们可以下载更新的规则库,然后放置在安装目录下相应的位置。bin文件放置在安装目录下Coreconfigrules文件夹,xml文件放置在CoreconfigExternalMetadata文件夹(如果该文件夹没有则新建一个)。
代码质量利器:Fortify SCA使用指南:1
知行合一 止于至善
06-11 9458
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
代码审计工具Fortify基本使用
超然楼
07-11 1810
最近接触到一款代码审计工具Fortify SCA and Applications 22.2.0,现就其基本使用做一简单介绍!Fortify是一个应用安全测试软件,是Micro Focus旗下AST(应用程序安全测试)产品。Fortify能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能,包括静态代码分析器(SAST)、动态应用安全测试软件(DAST)、软件安全中心(SSC)和实时应用程序自我保护(RASP)。
Java代码审计
谷哥的小弟
04-11 1566
代码审计是一种安全测试方法,它通过对软件应用程序代码的静态分析和动态测试来确定应用程序中存在的安全漏洞。其主要目的是检测应用程序中可能被攻击者利用的安全漏洞,如输入验证问题、访问控制问题、缓冲区溢出、SQL注入等。通过进行代码审计可以发现应用程序中的潜在安全漏洞并提出修复建议,以提高应用程序的安全性。
代码审计工具-Fortify详细介绍和使用
ffffffuk的博客
09-16 1万+
Fortify SCA详细 1.1 Fortify SCA概述 1、Source Code Analysis 阶段概述 Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段: 转换:使用代码创建中间文件,源代码与一个 Build ID相关联,Build ID通常就是项目名称。 扫描与分析:扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。 校验:确保所有源文件均包含
Forfity代码审计:漏洞原理与修复策略
"本文主要介绍了代码审计工具Fortify在扫描代码时常见的两类安全漏洞——系统信息泄漏(System Information Leak)和不安全的随机数(Insecure Randomness),并详细阐述了这两类漏洞的原理、危害以及相应的修复建议。...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值