java代码审计思维导图_SDL中fortify 代码审计各种坑和处理办法

最新推荐文章于 2024-05-17 14:30:00 发布
最新推荐文章于 2024-05-17 14:30:00 发布
阅读量643 收藏 1
点赞数 2
文章标签: java代码审计思维导图
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39898011/article/details/114901185
版权

fortify扫描代码的前置问题:

1)在使用foritfy的过程中很多人会发现他在windows下默认使用gbk访问代码以及生成报告,这样会有好多乱码,其实解决方案很简单。

添加环境变量  JAVA_TOOL_OPTIONS   这个变量的值为  -Dfile.encoding=UTF-8

或者在bin目录下的auditworkbench.cmd 和 ScanWizard.cmd 文件中第一个set环境变量之后,添加环境变量的值如图

ad6ba64acea5fd25e428f236af9edd37.png

set JAVA_TOOL_OPTIONS=-Dfile.encoding=UTF-8

这样就能保证主界面进程和生成报告的进程都使用utf-8编码(现在的项目极少数是gbk的了,基本都是utf-8编码的)

2)maven编译扫描的使用,很多人不是很明白,其实也很简单。首先在主目录下的plugins\maven目录中找到maven-plugin-bin.zip这个压缩包并解压缩。直接运行install.bat这个脚本(前提是已经配置好了maven以及配置了maven国内的加速镜像),执行完脚本后可以使用bin目录下的ScanWizard.cmd这个脚本进行编译扫描了,编译扫描请看下面的操作。

1: 代码审计的java工程编译问题

在代码审计中,你会发现有些工程的依赖jar包不完整或者物理隔离导致的java工程无法编译

最好的办法就是找到编译通过的开发工程师把他的maven仓库完整的复制到进行代码审计的电脑中的maven仓库文件夹中

例如:

6f6830e82ec3756c7f5d4633a5420985.png

那就把开发工程师的maven仓库文件夹覆盖到图片中路径的文件夹中

并且删掉里面所有的

_remote.repositories

这个文件(别问为什么,就这么干)

然后使用命令

mvn -o clean install

-o 这个参数代表离线模式,可以保证只在本地的maven仓库进行查找依赖,这样就能保证编译通过了

这样编译通过后,fortify扫描就是能按照bin目录中ScanWizard.cmd的maven编译式扫描方式进行扫描,下面看操作步骤:

a6d0938941c88c5dc188cee99e257af2.png

下图这里选中这个enable选项也是要仔细观察是不是工程的主pom.xml而不是子目录中的pom.xml,子目录中的pom.xml是编译不能通过的

19316e7967e7b31052e7894ff5b4f78a.png

别忘记在扫描的自定义参数中使用mvn -o

如果扫描环境可以连接到maven仓库并且编译通过,则上述中复制maven文件夹、删除_remote.repositories文件和使用-o参数编译的操作就可以不使用了,直接就可以编译扫描

2:代码审计的问题管理和追溯问题

代码审计必须追溯到人,也就是代码最后提交人,只有这样才能保证代码的持续改进,之前遇到过由项目组组长管理代码改进,一旦出现项目进度很赶,账号公用,最终项目的修改人就会出现混乱,互相推诿扯皮。

gitlab的代码提交人是依照邮箱为追溯标准的

首先打开git gui的选项

760c0d5a5697aec01a7c1527f3f98852.png

关注一个如下图的地方一个就是编码要改成utf8 还有就是gitlab所记录的提交人以邮箱为准:

753f14ca93cf96d253e6ad638469e9ae.png

这里的邮箱也就是命令行里面的

git config --global user.email "zhangsan2@qq.com.cn"

gitlab中记录的代码提交人与控制面板中的凭据管理器中的凭据是无关的

然后用自动化的代码审计工具进行分析后,就能把问题定责到个人,保证代码审计的落地。

但是同时在开发过程中要注意一个细节:

如下图参照gitlab在合并代码的时候不要选择合并提交, 如果合并提交的话代码提交人会变成合并人的身份,导致代码实际提交人的记录无法追溯

4474525cc2ee93b8ca22682d2508da86.png

3. git几个要统一化的参数避免隐蔽的坑

# 保证长文件名可用

git config --global core.longpaths true

# 使用core.autocrlf 保证不同操作系统的换行符号兼容性

# 参考地址 https://blog.csdn.net/asahinokawa/article/details/85988837

# ide能自适应换行符 所以最好把代码的换行进行统一化

git config --global core.autocrlf input

4.fortfiy的高级java代码扫描需要把所有的maven依赖都导出来,而且要做到jar包一个不多一个不少。可以使用以下的脚本把工程中的dependency导出到集中的一个文件夹中,设置为fortify高级扫描的classpath,以下d得代码就是C:\Java\MVN_REPO中所有的jar包导出到C:\Java\mvn目录中。在使用雳鉴扫描代码时保证代码审计的时候能找到对应的依赖jar包上传到雳鉴服务器里,也可以使用下面的脚本。

@echo off

set work_path=C:\Java\MVN_REPO

cd %work_path%

for /R %work_path% %%a in (*.jar) do (

copy "%%a" C:\Java\mvn

)

pause

如果有些人提供的代码没有删除target目录,可以使用以下的bat删掉工程目录中所有的target目录以避免扫到垃圾代码。

@echo off

for /r /d %%i in (target) do (

echo %%i

rd /s /q %%i

)

然后这样使用foritfy

e252e98fcd2d23a259ed03d1ea027bd8.png

打开后最好设计如下的目录结构,其中maven2目录就是我们用脚本导出的jar包

bc2ace3fae9ed91baff12d958fdec49b.png

当然单纯的这样目录设计是不够的,还需要将maven2这个目录设置为classpath目录

7934533db93f5e612af4d7eae2c31de5.png

点击next后,对扫描的规则可以做设置

bc1d98b970f09a812b7fc93bfe38090a.png

剩下就执行扫描就可以了

生成报告的模式如下才能和ide中一致

d40c8def1874d6d51cf92d839a9c25ce.png

禁止转载!

weixin_39898011
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FortifySCA详细介绍(三)
武天旭的博客
10-06 8292
2.1、扫描 Java 项目 “Scan Java Project(扫描 Java 项目)”向导将转换阶段和分析阶段合并为一个简单的步骤。使用此功能可以扫描源那些代码位于单个目录的小型 Java 项目。
一次代码审计实战案例【思路流程】
HBohan的博客
03-03 932
此次代码审计使用了通用代码审计思路的两种,第一种:根据功能点定向审计、第二种:敏感函数回溯参数过程,没有用到的是通读全文代码。活用 phpstorm 可以让代码审计的效率大大增加。
SDL实践指南】Foritify使用介绍速览
Fly_鹏程万里
03-27 368
Foritify安装使用速览
蜻蜓:GitLab结合fortify实现自动化扫描实践
最新发布
qkh1234567的博客
05-17 1335
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。登录成功之后会自动跳转到工作台的首页,如下图所示。
Fortify文乱码 Audit Workbench
ilqgffvramusm2864的博客
07-27 3504
乱码现象原因 由于Audit Workbench使用的eclipse默认编码为GBK,导致在其查看以UTF-8编码的文件出现乱码问题。 单文件乱码解决方法 可通过Edit下Set Encoding设置。需要光标在右侧代码框内。用于设置单个文件的编码方式 修改Audit Workbench默认编码 找到productlaunch.cmd文件(C:\Program Files\Fortify\Fortify_SCA_and_Apps_18.20\Core\private-bin\awb\productla
第37篇:fortify代码审计工具的使用技巧(1)-审计java代码过程
ABC_123的博客
12-19 2886
Part1 前言在正式文章之前,插播一下:恭喜梅西圆梦,获得世界杯冠军,加冕球王,一场精彩绝伦的球赛。开心之后,还是要静下心学习的,我们也要继续努力。Fortify全名叫Fortify SCA,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款很厉害的Web漏洞扫描器叫Webinspect。美国的Fortify、美国的Coverity、美国的Codesecure、美国的IBM...
SDL.rar_sdl_sdlref pdf_sdl文教程_sdl教程_怎样学sDL画图
09-19
**SDL(Simple DirectMedia Layer)** 是一个跨平台的多媒体库,主要被游戏开发者用于创建图形用户界面和处理音频、视频以及游戏输入。SDL的名字来源于它的功能:它为开发者提供了一个简单直接的方式来访问底层的...
SDL.rar_SDL源代码
09-24
在“SDL-1.2.15”这个版本,你将找到一系列的源文件、头文件、示例代码、文档和其他资源。通过学习这些源代码,开发者不仅可以了解如何使用SDL库,还能深入理解底层多媒体编程的原理,这对于任何希望从事游戏开发...
Java代码审计(入门篇).pdf
10-21
还结合具体案例进行讲解,让读者身临其境,快速了解和掌握主流的Java代码安全审计技巧。 本书的特点是:浅入深、全面、系统、实战、语言通俗易懂、举例简单明了,非常适合Java开发人员、信息安全专业的学生和...
sdl.rar_SDL A_SDL C_sdl_sdl api_sdl.chm
09-14
标签“sdl_a”,“sdl_c”,“sdl”,“sdl_api”,“sdl.chm”与标题的信息相呼应,强调了文件内容的重点在于SDL库,尤其是针对A和C语言的接口,以及SDL的API文档。 **压缩文件内容:** “sdl.chm”文件是一个...
SDL_Demo.rar_DEMO_SDL example_sdl_sdl demo_sdl winmain
09-23
标题的"SDL_Demo.rar_DEMO_SDL example_sdl_sdl demo_sdl winmain" 提到了几个关键元素,其SDL”是Simple DirectMedia Layer的缩写,这是一个跨平台的多媒体库,主要用于游戏开发和其他实时应用程序。...
Fortify安全代码规则编写指南.rar
03-28
Fortify 安全代码使用指南 Chapter 1: 理解安全编码规则 这章节包括以下标题: 什么是安全编码规则? 什么是Secure Coding Rulepacks?什么是自定义规则?什么是漏洞类别?什么是规则类型 什么是安全编码规则?
FortifyVulnerabilityExporter:将Fortify漏洞数据导出到GitHub,GitLab,SonarQube等
04-07
Fortify漏洞出口商 介绍 使用快速构建安全软件。 Fortify提供了端到端应用程序安全性解决方案,可以灵活地测试本地和按需扩展和覆盖整个软件开发生命周期。 借助Fortify,您可以及早发现安全问题并以DevOps的速度进行修复。 FortifyVulnerabilityExporter允许将漏洞从Fortify on Demand和Fortify软件安全心导出到以下第三方产品和输出格式: 在将FortifyVulnerabilityExporter集成到SDLC之前,请查看以下各节的信息: 相关链接 下载: : 开发版本可能不稳定或无法正常运行。 *-thirdparty.zip文件仅供参考,不需要下载。 Docker映像: : //hub.docker.com/repository/docker/fortifydocker/fortify-vulnerabili
Fortify SCA 安装使用手册
05-10
Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源代码的安全问题
java代码审计环境准备jdk、eclipse、tomcat、MySQL、fortify
m0_57379855的博客
03-21 4288
java代码审计环境准备jdk的安装eclipse的安装eclipse结合tomcatMySQL的安装Fortify代码审计工具简介原理支持语言安装运行fortify jdk的安装 下载地址:JDK8官方 直接在左下角搜索环境变量 添加JDK到系统环境变量 编辑path变量 点击新建值为:%JAVA_HOME%\bin ,点击确定按钮 输入命令 java -version,查看是否安装成功 你也可以下载其他版本的JDK eclipse的安装 下载地址:eclipse官方下载 下载成功后双击exe文件
使用gitlab runner集成Fortify扫描
m0_69072302的博客
01-31 884
fortify安装教程(实测win可用)windows下安装gitlabrunner。
GitLab结合fortify实现自动化代码审计实践
小王的储物间
02-02 697
命令执行之后,docker会自动拉取docker镜像,并创建一个gitlab的容器,服务启动之后会随机生成一个root用户的密码,可以通过以下命令查看root用户的初始化密码。gitlab搭建完后,默认里面有一个空项目,fortify无法扫除有价值的漏洞,为了方便测试,需要在新建项目的位置导入项目进去,打开URL地址。在登录页面,我们在用户名处输入root,密码处输入刚才得到的密码;添加到工作流之后,会看到工作流的信息,这里可以把gitlab的配置信息填写进去,需要点击进入编排流程,如下图所示。
Fortify SCA快速入门以及常见问题解决方法
热门推荐
一个测试工程师的代码世界
10-15 5万+
本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态扫描测试。快速入门 规则库导入: 所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Cor
java代码审计思维导图_代码审计-MetInfo 6.0.0 sql注入漏洞
weixin_35925956的博客
02-28 240
首先漏洞存在于app\system\message\web\message.class.php文件,变量{$_M[form][id]}直接拼接在SQL语句,且验证码检测函数是在SQL语句查询之后,这也就造成了我们可以无视验证码检测函数,进行SQL注入。具体问题函数代码如下:$met_fd_ok=DB::get_one("select * from {$_M[table][config]} wh...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值