本文介绍了Fortify软件,一款强大的代码漏洞扫描工具,及其扫描出的常见问题——Sql Injection。文章详细分析了Sql Injection的产生原因,通过示例说明了攻击者如何利用动态构造的SQL查询获取未授权信息。并提出了修复方案,强调使用参数化查询和预编译SQL语句以避免此类漏洞。
公司最近启用了Fortify扫描项目代码,报出较多的漏洞,安排了本人进行修复,近段时间将对修复的过程和一些修复的漏洞总结整理于此!
本篇先对Fortify做个简单的认识,同时总结一下sql注入的漏洞!
一、Fortify软件介绍
Fortify是一款能扫描分析代码漏洞的强大工具,是由一家加州软件安全厂商开发而成,该公司成立于2003年,它于2010年被惠普收购。现在,它在惠普软件业务方面作为惠普企业安全产品的一部分,它提供软件应用程序的安全漏洞保护识别,修复产品和服务。
Fortify Manager(Fortify安全管理平台)是一个为安全管理团队和软件开发团队提供集中管理安全策略和Fortify SCA扫描报告的安全信息综合管理平台,它可以收集来自Fortify SCA(源代码扫描器)对多个项目扫描的结果。 当开发人员和安全管理员使用Fortify SCA对多个应用软件扫描后,其结果会被存放在Fortify Manager数据库中,然后在控制台中显示出来,以便他们监视开发过程, 分析关键的安全度量元,并作统计和生成详尽的报告。
二、 Fortify扫描常见漏洞 - Sql Injection(sql注入)
1.1、产生原因:
SQL injection 错误在以下情况下发生:
1、数据从一个不可信赖的数据源进入程序。
2、数据用于动态地构造
最低0.47元/天 解锁文章
扫一扫
3712
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
