[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告

最新推荐文章于 2023-09-21 15:45:00 发布
最新推荐文章于 2023-09-21 15:45:00 发布
阅读量8.9k 收藏 224
点赞数 60
分类专栏: 代码审计 入门到精通 文章标签: 代码审计 fortify 代码审计工具 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/128429287
版权

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

一、Fortify介绍

1、Fortify简介

Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。

2、Fortify原理

首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚。
通过分析不同类型问题的静态分析引擎分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。

3、Fortify SCA引擎介绍:

数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析过程中不安全的函数,方法的使用的安全问题。
结构引擎:分析程序上下文环境、结构中的安全问题。
控制流引擎:分析程序特定时间、状态下执行操作指令的安全问题。
配置引擎:分析项目配置中的敏感信息和配置确实的安全问题。

4、Fortify支持语言

FortifySCA支持的21语言,分别是:

1、asp.net
2、VB.Net
3、c#.Net
4、ASP
5、VBscript
6、VS6
7、java
8、JSP
9、javascript
10、HTML
11、XML
12、C/C++
13、PHP
14、T-SQL
15、PL/SQL
16、Action script
17、Object-C (iphone-2012/5)
18、ColdFusion5.0 - 选购
19、python -选购
20、COBOL - 选购
21、SAP-ABAP -选购

二、Fortify下载

CSDN有积分的小伙伴可以在CSDN直接下载,方便快捷,还能给我加几个积分,哈哈哈
CSDN下载链接:

https://download.csdn.net/download/qq_51577576/87341637

把百度网盘链接删除之后就提示不限流了 。。。。。。文章质量就提高了 ??????

这里是我添加了两个链接,其中有一个是我自己百度网盘分享的,一个是我传到CSDN的,提示文章质量低下,然后我删了百度网盘分享链接。。。。。。
为了照顾到CSDN没有积分的小伙伴们,我最终还是把百度网盘的链接加上来了

百度网盘下载

在这里插入图片描述

把百度网盘链接删除之后就提示不限流了 。。。。。。文章质量就提高了 ??????

在这里插入图片描述

三、Fortify安装

1、双击exe文件

在这里插入图片描述

2、点击next

在这里插入图片描述

3、同意协议,点击下一步

在这里插入图片描述

4、选择安装路径、点击下一步

在这里插入图片描述

5、选择组件、点击下一步

在这里插入图片描述

6、选择license、点击下一步

License在下载文件里面有

在这里插入图片描述

7、选择更新服务器,这里可以不用填写

在这里插入图片描述

8、移除之前版本选择No

在这里插入图片描述

9、安装实例代码项目选择No

在这里插入图片描述

10、准备安装、点击下一步

在这里插入图片描述

11、等待安装中

在这里插入图片描述

12、安装完成、点击Finish及完成安装

记得把自动更新取消,我们后续会设置中文

在这里插入图片描述

13、替换jar包

fortify安装:安装好之后,将下载的fortify-common-20.1.1.0007.jar包替换掉fortify安装目录下的Core\lib目录下的同名包

在这里插入图片描述
在这里插入图片描述

14、添加rules和ExternalMetadata

将规则包rules,将文件放入\Core\config\目录下;

在这里插入图片描述
在这里插入图片描述

15、运行fortify

在这里插入图片描述

16、提示是否更新规则,我们选No

这里我直接截图标注标注反了

在这里插入图片描述

17、打开后界面如下

在这里插入图片描述

四、修改语言为中文

其实上面完成就已经是中文了,关键在于第十六步,一定要选择NO,不能让他自动更新规则。
那么如果不是中文如何改成中文呢,有两种方式。

1、运行scapostinstall.cmd修改为中文

1. 运行scapostinstall.cmd

安装路径\Fortify\Fortify_SCA_and_Apps_20.1.1\bin

在这里插入图片描述

2. 选择设置

我们直接输入2就行

[1] Migration...
[2] Settings...
[s] Display all settings
[q] Exit
Please select the desired action (1,2,s,q): 2

在这里插入图片描述

3. 选择常规设置

直接输入1就可以了

在这里插入图片描述

4. 选择本地的

直接输入1就可以了

在这里插入图片描述

5. 选择中文

输入zh_CN按回车就ok了

在这里插入图片描述

6. 退出设置面板

直接键入q退出就ok了

在这里插入图片描述

2、直接再fortify前端面板修改设置

1. 进入选项

重启fortify,选择菜单栏的options,接着选择options

在这里插入图片描述

2. 选择语种

根据如图选择,然后点击ok就设置完成了

在这里插入图片描述

五、Fortify简单扫描并导出报告

1、打开工作台

在这里插入图片描述

2、选择静态代码所在目录,进行扫描

我这里选择高级,让他自动识别

在这里插入图片描述

点击之后,跳转到文件目录,我们选择一个demo

在这里插入图片描述

确认信息,下一步

在这里插入图片描述

scan

在这里插入图片描述

3、扫描完成

在这里插入图片描述

查看扫描结果详细信息

在这里插入图片描述

4、导出报告

我们设置了中文语言之后导出的报告就是中文报告。

在这里插入图片描述

在这里插入图片描述

导出成功

在这里插入图片描述

5、查阅报告

这是我刚刚下载的PDF

在这里插入图片描述

打开发现是中文的,非常nice

在这里插入图片描述

六、相关资源

1、Fortify下载连接

_PowerShell
关注
  • 60
    点赞
  • 224
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 27
    评论
专栏目录
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告
weixin_59086772的博客
10-18 8177
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Fortify用户手册简体中文
10-31
Fortify用户手册简体中文版 简要介绍了 Audit Workbench 的特性与功能,并且介绍了 Audit Workbench 的主要组成部分。 其中包含以下主题: • Source Code Analysis 阶段概述 • 安全编码规则包概述
Fortify SCA(SourceCodeAnalysis)安装使用手册.docx
12-11
本文档包含Fortify SCA(Source Code Analysis) 安装使用教程,word格式。 特分享给大家
2020年fortify SCA最新rules.zip
07-08
该规则是fortify2020最新规则更新,可以添加到fortify中进行代码静态扫描,进行代码漏洞bug静态分析,提醒开发人员进行漏洞修复
Fortify使用手册
michael_linux的博客,一个小学生。
09-06 6441
1. 安装 2. 使用 3.更新规则 4. 乱码解决(法1):单文件乱码解决方案 4. 乱码解决(法2):修改Audit Workbench默认编码 4. 乱码解决(法3):修改Fortify集成的eclipse默认编码
代码审计代码审计工具Fortify基本用法详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
02-08 1万+
Fortify全名叫Fortify SCA ,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款Web漏洞扫描器,叫做 Webinspect。美国的Fortify、Coverity、Codesecure、IBM AppScan Source 以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,那么接下来就Fortify来介绍一下使用方法。
代码审计工具Fortify安装使用
qq_40843977的博客
02-02 4529
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。安全编码规则中的规则分析受支持语言的核心和扩展的API包中的函数,并将分析结果记录在Fortify SCA中。每一个问题的解释包含了对问题的描述和建议的解决方案,一边更好的解决程序中的漏洞和缺陷。
Fortify 安装使用详解中文导出设置
weixin_61240867的博客
07-18 9357
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。语义引擎:分析过程中不安全的函数,方法的使用的安全问题。结构引擎:分析程序上下文环境、结构中的安全问题。
fortify安装
qq_45370296的博客
09-21 356
它是一种静态代码分析(Static Code Analysis)工具,旨在帮助开发团队在软件开发过程中发现修复潜在的安全漏洞和代码质量问题。Fortify 主要用于扫描应用程序源代码,检测潜在的漏洞和安全风险,如代码注入、跨站脚本攻击(XSS)、安全配置错误等。它不仅可以检查常见的安全问题,还支持定制规则集,允许开发者根据特定的安全标准或项目需求定义自己的规则。安装完成后,进入工具首页,可创建新项目以及查看之前任务。保存后,重启fortify,乱码问题就解决了。点击下一步,可配置规则包。
安全测试工具之-fortify(一)
ShanDong_Chu
04-08 3077
1、下载fortify 网络中有很多下载地址,可以自行下载 2、破解 将fortify-common-20.1.1.0007.jar文件拷贝到fortify安装目录,并替换原有文件:\Fortify_SCA_and_Apps_20.1.1\Core\lib 将规则库rules拷贝到fortify安装目录,并替换原有文件: \Fortify_SCA_and_Apps_20.1.1\Core\config 3、破解工具请参考 ...
如何导出Fortify 17.10扫描报告
tyu1853的博客
01-08 5605
使用Fortify对项目源代码进行扫描后,可以把扫描的结果通过报告的形式导出报告可以保存为pdf格式。 本文介绍一下导出Fortify扫描报告的具体操作步骤。 【环境准备】 系统版本:win10版本 [10.0.17134.706] 软件版本:Fortify 17.10 【软件下载地址】: 安装包下载:安装包下载 license下载地址:license下载 【导出报...
fortify rules
08-31
1. fortify 2020 检测规则 2. 放入\Fortify_SCA_and_Apps_\Core\config\rules下面就可以使用
Fortify用户手册简体中文版_v6.1.zip
02-25
Fortify用户手册简体中文版_v6.1 pdf 使用说明
Fortify SCA 19.1.0-fiona.zip
08-27
fortify sca安装包,含证书
Fortify SCA 19.1.0-passwd-qwert12345asdfg.zip
07-20
Fortify SCA 19.1.0带license 安装包 解压密码:qwert12345asdfg Fottify全名叫:Fortify SCA ,是HP的产品 ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告
代码审计神器Fortify - Fortify SCA 20.1.1
12-24
[ 代码审计 ] Fortify安装使用详解(一)Fortify安装设置语言中文导出中文报告 Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流...
Java安全代码审计介绍及扫描工具Fortify详解
06-12
本节课程是为后续Java代码审计课程的铺垫课程,本节课程中详细介绍了什么是Java安全代码审计、Java代码审计需要的前置知识等介绍性的内容,同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在...
Fortify SCA 安装使用手册
06-30
Fortify SCA 安装使用手册
代码审计工具Fortify SCA 20.1.1 下载
最新发布
12-21
Fortify代码审计工具,静态代码分析器(SCA)支持26种编程语言中的1,019个漏洞类别,涵盖了超过一百万个单独的API
fortify工具下载
11-09
fortify工具是由Micro Focus公司开发的一款应用程序安全性分析工具。它能够帮助开发人员在编写代码的过程中发现潜在的安全漏洞并提供修复建议。 如果您想下载fortify工具,可以按照以下步骤进行操作: 1. 访问Micro Focus公司的官方网站。在搜索框中输入"fortify"或者在产品页面中找到fortify工具。 2. 点击进入fortify工具的页面。通常会提供不同版本的工具,您可以根据自己的需要选择适合的版本。 3. 在页面中找到"下载"按钮,并点击进入下载页面。 4. 根据您的操作系统选择相应的下载版本,例如Windows、Linux或者macOS等。 5. 点击下载按钮,等待下载过程完成。这可能需要一些时间取决于您的网络速度。 6. 下载完成后,找到下载文件的存储位置,并确保文件完整无损。 7. 如果下载的是安装程序,双击运行安装程序。按照安装向导的指示进行安装设置相关参数。 8. 如果下载的是压缩文件,您可以使用解压缩软件将压缩文件解压到您想要安装的位置。 9. 根据软件提供的安装步骤进行安装。 10. 完成安装后,您就可以开始使用fortify工具来分析代码的安全性并修复潜在的漏洞。 总之,想要下载fortify工具,只需要访问Micro Focus公司的官方网站并按照下载指引进行操作即可。这个工具将有助于提升您的应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 27
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值