Fortify

最新推荐文章于 2024-08-15 14:33:10 发布
最新推荐文章于 2024-08-15 14:33:10 发布
阅读量1.6k 收藏 4
点赞数 1
分类专栏: 代码审计 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56185549/article/details/130312391
版权

目录

1 Fortify

1.1 Fortify安装教程

 1.2 Fortify修改为中文

 2 漏洞扫描PHP

2.1 PHP系列漏洞扫描

 2.2 SQL注入

 2.3 命令注入

1 Fortify

1.1 Fortify安装教程

解压安装包

 

进入bin目录,点击 auditworkbench.cmd

 选择No

 

 1.2 Fortify修改为中文

打开bin目录下的scapostinstall.cmd

 输入2,1,1,最后执行zh_CN按下回车

 点击options

 继续点击options,点击Update

 

 

 2 漏洞扫描PHP

2.1 PHP系列漏洞扫描

系统:Windows10

靶场:DVMA

代码审计工具:fortify

打开phpstudy,启动Apache和Msql,打开DVMA主页

 打开fortify使用advanced Scan(第一个是JAVA项目,第二个为自动检测代码)

 选择DVMA代码,并选择输出项目设置为自己熟悉的路径与文件名。

 

 点击next

 点击back

 点击scan

 出现如下界面

 2.2 SQL注入

左上方有各种颜色的小方块,代表着漏洞的危害程度,从高到低,可以看出各类漏洞

 Sql注入从getid开始,传值给$id。在get id处使用了mysqli_query,造成了sql注入。

 构造payload,输入1’ or’1’=’1

 

尝试万能密码:1’ and ‘1’=’5,出来不了,因为1不等于5,说明存在sql注入漏洞。

然后在order by 1和2 可以看到不报错

 查看数据库和用户

 2.3 命令注入

分析命令执行流程,从$request出发shellexec

detail中介绍了问题出处

        low.php 的第 10 行会利用由不可信赖的数据构建的命令来调用 shell_exec()。这种调用会导致程序以攻击者的名义执行恶意命令。

命令注入

&同时执行,执行右边、&&先左后右(左边成功执行右边)、||先左后右(左边失败执行右边)、|只执行右边、;第一个无法执行才能执行右边

 点击导出报告 选择tools-reports-Generate BIRT report...

 查看报告

 

恬淡709
关注
专栏目录
Fortify用户手册简体中文版
10-31
Fortify用户手册简体中文版 简要介绍了 Audit Workbench 的特性与功能,并且介绍了 Audit Workbench 的主要组成部分。 其中包含以下主题: • Source Code Analysis 阶段概述 • 安全编码规则包概述
Fortify解决方案手册(中文版).zip
06-16
Fortify,瑞云等扫描代码所出现的漏洞的解决方案。包含了常规的漏洞解决方案,共244页。描述内容均为中文版
1. Fortify使用破解教程
最新发布
weixin_64803495的博客
08-15 1126
Fortify 是Micro Focus 旗下AST(应用程序安全测试)产品,其产品组合包括: Fortify Static Code Analyzer 提供静态代码分析器(SAST),Fortify WebInspect 是动态应用安全测试软件(DAST),Software Security Center 是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。点击scan,进行扫描,等待扫描完成。根据设置的路径,找到导出的报告。
Fortify用户手册简体中文版_v6.1.zip
02-25
Fortify用户手册简体中文版_v6.1 pdf 使用说明
Fortify 安装及使用详解(中文版导出设置)
热门推荐
weixin_61240867的博客
07-18 1万+
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。语义引擎:分析过程中不安全的函数,方法的使用的安全问题。结构引擎:分析程序上下文环境、结构中的安全问题。
Fortify-设置中文语言
汪敏的博客
10-24 597
击Update Secutiry Content-zh_CN等待更新成中文即可。
fortify
03-17
Laravel Fortify是Laravel的前端不可知身份验证后端。 Fortify支持的注册,身份验证和两因素身份验证功能。 官方文件 可以在上找到Fortify的文档。 贡献 感谢您考虑为Fortify做出贡献! 您可以在阅读贡献指南。 行为...
代码审计神器Fortify - Fortify SCA 20.1.1
12-24
Fortify 详细安装使用可参考我的文章 [ 代码审计篇 ] Fortify安装及使用详解(一)Fortify安装并设置语言为中文导出中文报告 Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:...
Fortify SCA 19.zip
04-06
Fortify Software Composition Analysis (SCA) 是一款强大的静态代码分析工具,主要应用于软件安全领域,旨在帮助开发者在编码阶段发现并修复潜在的安全漏洞。Fortify SCA v19 是其第19个版本,提供了更先进的功能和...
fortify rules
08-31
Fortify是一款强大的静态代码分析工具,用于检测软件源代码中的安全漏洞和质量缺陷。它能够帮助开发者在编码阶段就发现并修复潜在的问题,避免在后期维护或生产环境中出现安全隐患。"Fortify 2020 检测规则"指的是...
Fortify的测试规则2019中文版和2020
12-08
Fortify的测试规则2019和2020; 找到Fortify的安装路径C:\Program Files\Fortify\Fortify_SCA_and_Apps_20.1.1\Core\config 替换rules即可
Fortify SCA 2018.1.1.003 中文规则库
07-25
Fortify SCA 2018.1.1.003 中文规则库 Fortify SCA 代码规则库-支持Java、C、C++、C#、PHP、Swift等静态代码扫描 ,符合代码安全的编码参考 Fortify SCA 。
Fortify:旨在使Fortify报告对客户更具可读性
05-01
强化 由于客户看不到Fortify FPR报告,因此导出的PDF报告可能太复杂而使客户迷路。 开发fpr2xlsx.py的目的是帮助客户更好地了解Fortify报告。 脚本需要安装Python xlsxwriter库。 只需一个参数(--input或-i)来选择fpr报告文件,之后它将fpr报告文件转换为Excel文件,并以与fpr文件相同的名称创建生成的xlsx文件。
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告
qq_51577576的博客
12-25 1万+
[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告 Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。
fotify php审计,代码安全审计(二)Fortify介绍及使用教程
weixin_42124497的博客
04-02 2239
简介Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。原理-首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源...
Fortify分析翻译7
flashtree的专栏
09-02 2132
 19.Missing XML validation(Control Flow): 19.1.源文件:QueryPrivilegeConfig.java. 代码:db = dbf.newDocumentBuilder(); 19.2.原文:Failure to enable validation when parsing XML gives an attacker the opportunity
php ceil 漏洞,Fortify漏洞修复总结
weixin_36296983的博客
04-07 458
1.代码注入1.1 命令注入问题代码:$dir = $_POST['dir']exec("cmd.exe /c dir" + $dir);修复方案:(1)程序对非受信的用户输入数据进行净化,删除不安全的字符。(2)限定输入类型, 创建一份安全字符串列表,限制用户只能输入该列表中的数据。 修复例子://方式1if (!preg_match('/^[\w\.:\-]+$/', $dir) ){// H...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值