第37篇:fortify代码审计工具的使用技巧(1)-审计java代码过程

原创 已于 2022-12-22 11:59:35 修改 · 4.2k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

于 2022-12-19 20:10:02 首次发布
本文详细介绍了Fortify SCA的安装、中文规则库升级、Java代码审计过程,以及如何处理扫描结果和解决乱码问题。通过实例展示了Fortify如何扫描和识别源代码中的高危漏洞,并提供了相关配置和优化技巧。
该文章已生成可运行项目,

0f7a2b0ad0f5dd6c1a46878c30fd4717.png

 Part1 前言 

在正式文章之前,插播一下:恭喜梅西圆梦,获得世界杯冠军,加冕球王,一场精彩绝伦的球赛。开心之后,还是要静下心学习的,我们也要继续努力。

Fortify全名叫Fortify SCA,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款很厉害的Web漏洞扫描器叫Webinspect。美国的Fortify、美国的Coverity、美国的Codesecure、美国的IBM AppScan Source以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,今天就讲一下fortify的使用吧,其它工具的使用后续再介绍。

Fortify对于新手是可以快速上手的,但是它绝不是一款傻瓜工具,它有很多的自定义操作,还有命令行操作,还可以自己编写规则库,这些都需要大家仔细阅读Fortify的说明书,再次强调一遍,仔细阅读说明书,后续ABC_123会抽时间慢慢讲。

求助:哪位朋友有Codesecure、IBM Security AppScan Source的破解版或者是试用版,方便的话发我试用一下,保证不用于商业目的,Thanks♪(・ω・)ノ

 Part2 具体使用过程 

  • Fortify的安装过程

安装过程比较简单,我就挑关键步骤讲解了。下载安装包之后,一直点击“下一步”就行,这里需要选择一个license文件foritfy.license。

52385b982e2ee264e9a539ed6febb9d8.png

接下来按照默认,一直点击“下一步”即可。

b9e85b200f830260334b93fe59b7a5f6.png

软件打开如下所示:

本文章已经生成可运行项目
最低0.47元/天 解锁文章
FortifySCA详细介绍(四)
武天旭的博客
03-02 832
三、审计分析结果 3.1、导航并查看分析结果 在您打开一个用来查看 Fortify Source Code Analyzer (Fortify SCA) 所检测到的问题的 Audit Workbench 项目之后,您可以在 Summary(摘要)面板中审计这些问题,以反映这些问题的严重级别,以及对该问题执行的安全分析状态。 系统会按审计结果的严重性以及准确性,对审计结果进行分组,并在默认情况下将问题识别为位于“Issues(问题)”面板中的 Hot(严重)列表内。单击 Warning(警告)和 Info(信
翻译:ProveRAG: Provenance-Driven Vulnerability Analysis with Automated Retrieval-Augmented LLMs
Penheim的博客
03-21 1186
传统的威胁分析方法通常涉及手动评估和静态数据库的使用,这既耗时又容易受到人为错误的影响。此外,尽管现有系统可以评估漏洞,但它们往往无法提供有效缓解所需的详细、可操作的见解。这一过程中的差距使安全团队迫切需要更先进的系统,能够评估威胁、生成全面的缓解场景,并记录其建议的证据。本研究的动机正是来源于这些挑战。RQ1:如何解决 LLMs 在持续出现的网络安全威胁中的时间限制?我们解决的一个关键问题是 LLMs 的时间限制。
代码质量利器:Fortify SCA使用指南:1
知行合一 止于至善
06-11 9917
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
Java代码审查工具
07-28
代码评审是指在软件开发过程中,对源代码的系统性检查,随时知道自己代码的质量
JAVA静态代码审计神器:Fortify
最新发布
绘梨衣の沉默的博客。主要是CTF竞赛,网络安全,渗透测试,HVV,以及学习到的各种知识的分享
09-29 1237
Fortify是一款专业的Java代码审计工具,通过静态分析检测安全漏洞。它利用五大分析引擎(数据流、语义、结构等)将源代码转换为NST中间文件,匹配漏洞特征库后生成详细报告(FPR格式)。主要功能包括:静态代码分析、数据流追踪、提供修复建议,支持与CI工具集成。安装需下载1G安装包,配置license和规则文件,扫描后可直观查看SQL注入、XSS等漏洞。
代码审计Fortify SCA 代码审计神器.
网络安全领域___专研者.
06-02 5123
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
Java代码审计
谷哥的小弟
04-11 1867
代码审计是一种安全测试方法,它通过对软件应用程序代码的静态分析和动态测试来确定应用程序中存在的安全漏洞。其主要目的是检测应用程序中可能被攻击者利用的安全漏洞,如输入验证问题、访问控制问题、缓冲区溢出、SQL注入等。通过进行代码审计可以发现应用程序中的潜在安全漏洞并提出修复建议,以提高应用程序的安全性。
java代码审计
gjgj的博客
07-18 4915
https://www.cnblogs.com/nongchaoer/p/13324114.html 有些源码搭建网站,会自动创建 数据库,但有些 需要先手动创建数据库,才可以搭建网站。视情况而定。 这里的报错,看报错信息,进行更改就好。 使用低版本的phpsyudy 搭建 代码审计——白盒测试 1、web应用/web网站 搭建成功后,使用web 漏洞扫描工具进行探针。 2、有源码的情况下,使用源码审计工具 进行漏洞挖掘。代码审计工具:N
【安全工具】浅谈编写Java代码审计工具
HBohan的博客
09-27 1240
介绍 笔者是大四学生,初涉安全的萌新,如果文章有错误之处还请大佬指出! 最初考虑采用纯正则等方式匹配,但这种方式过于严格,程序员编写的代码有各种可能的组合 于是尝试自行实现Java词法分析和语法分析,稍作尝试后发现这不现实,一方面涉及到编译原理的一些算法,另外相比C语言等,Java语言本身较复杂,不是短时间能搞定的,深入研究编译原理背离了做审计工具的目的 后来找到了几种解决方案:Antlr,JavaCC,JDT,javaparser 经过对比,最终选择javaparser项目,该项目似乎是基于JavaCC.
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1578
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
fortify使用教程
08-23
Fortify使用简明教程,快速入门,软件测试代码安全性的有效工具
Java中的代码审计与漏洞检测工具使用
微赚淘客系统开发者博客
07-31 2483
通过对代码进行系统化的审计,可以及早发现潜在的安全漏洞和质量问题,从而提高应用程序的安全性和稳定性。通过使用这些工具开发者可以对代码进行系统化的审计,及时发现和修复潜在的问题,确保代码的质量和安全性。SonarQube是一个广泛使用的开源平台,用于静态代码分析,检测代码中的错误、代码异味以及安全漏洞。SpotBugs是FindBugs的一个分支,是一个静态代码分析工具,用于查找Java代码中的潜在错误。SonarQube将生成详细的代码质量报告,帮助开发者发现代码中的潜在问题。
Java基础 | 专业排行榜前7的Java代码审计工具
ch98000的博客
09-02 7574
本文给出了上面的所有好的Java审计工具和基本使用方法,和各自特点,并且以上都很好用,都很优秀,如果能好好使用,可以让工作效率大大增加。
JAVA代码审计SAST工具使用与漏洞特征
道阻且长,行则将至
03-04 2638
本文来学习、总结下业界常见的 Java 语言代码审计工具使用,同时通过检验工具的漏洞扫描结果学习下常见漏洞的代码特征,毕竟只有多看看漏洞所在的缺陷代码,才能避免实战中与漏洞“碰面”了却“互不相识”。
CheckStyle(Java代码审计工具)
h405589168的专栏
04-12 388
2012年7月微软MVP申请开始啦!           CSDN十大风云博客专栏评选结果公布!            CSDN博客皮肤评选活动火爆开启! CheckStyle(Java代码审计工具) 分类: Java工具类 2011-09-23 10:52 76人阅读 评论(0) 收藏 举报   假设Checkstyle位于全局的classpath中,可以使用如下的t...
代码审计代码审计工具Fortify基本用法详解
李同學的安全圈
02-08 1万+
Fortify全名叫Fortify SCA ,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款Web漏洞扫描器,叫做 Webinspect。美国的Fortify、Coverity、Codesecure、IBM AppScan Source 以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,那么接下来就Fortify来介绍一下使用方法。
代码审计工具-Fortify详细介绍和使用
热门推荐
ffffffuk的博客
09-16 2万+
Fortify SCA详细 1.1 Fortify SCA概述 1、Source Code Analysis 阶段概述 Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段: 转换:使用代码创建中间文件,源代码与一个 Build ID相关联,Build ID通常就是项目名称。 扫描与分析:扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。 校验:确保所有源文件均包含
代码审查工具Fortify
汪敏的博客
10-13 1462
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。安全编码规则中的规则分析受支持语言的核心和扩展的API包中的函数,并将分析结果记录在Fortify SCA中。每一个问题的解释包含了对问题的描述和建议的解决方案,一边更好的解决程序中的漏洞和缺陷。
Fortify SCA 19安装包:代码审计工具详解
资源摘要信息:"Fortify SCA 19.zip文件是Fortify SCA版本19的代码审计工具的安装包。Fortify SCA是惠普公司开发的一款白盒测试工具,主要用于帮助企业进行代码审计,检测软件中可能存在的安全漏洞。白盒测试是一种...
评论 9
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值