Fortify 是Micro Focus 旗下AST(应用程序安全测试)产品,其产品组合包括: Fortify Static Code Analyzer 提供静态代码分析器(SAST),Fortify WebInspect 是动态应用安全测试软件(DAST),Software Security Center 是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。
Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效安全监测,Fortify 具有源代码安全分析,可精准定位漏洞产生的路径,以及具有 1 分钟 1 万行的扫描速度。
1.1 Fortify安装教程
下载链接:
点击Fortify SCA 20.1.1带license安装包进行下载
图1.1.1.1
图1.1.1.2
下载好后
图1.1.1.3
双击打开,进行下一步
图1.1.1.4
选择我接受,继续下一步
图1.1.1.5
选择安装路径
图1.1.1.6
继续下一步
图1.1.1.7
选择需要的插件,继续下一步
图1.1.1.8
选择安装的目录,下一步
图1.1.1.9
输入url,继续下一步
图1.1.1.10
选择no,继续下一步
图1.1.1.11
选择yes,继续下一步
图1.1.1.12
继续下一步
图1.1.1.13
等待安装
图1.1.1.14
取消选择的update,点击finish
图1.1.1.15
1.2 fortify破解
在安装包中找到jar的破解文件
图1.1.2.1
将其复制到D:\CyberSecurity\webtools\Fortify\Core\lib目录下进行替换
替换成功后,就表明已经破解成功
1.3 fortify修改为中文
找到fority下的bin目录下的scapostinstall.cmd并打开
图1.1.3.1
依次执行2、1、1、zh_CN、q,如下图
图1.1.3.2
执行成功后,双击auditworkbench.cmd
图1.1.3.3
进入fortify首页,点击Options->Options
图1.1.3.4
进入下一步,安装流程操作
图1.1.3.5
点击ok,完成
图1.1.3.6
第一个扫描java项目
第二个其他高级扫描
图1.1.3.7
1.4 fority扫描流程
进入首页,点击Advanced Scan进行扫描
图1.2.1.1
找到dvwa所在的位置E:\yjltools\phpstudy\phpstudy_pro\WWW\DVWA
图1.2.1.2
进行下一步
图1.2.1.3
选择输出的文件
图1.2.1.4
启动快速扫描模式
图1.2.1.5
选择针对dvwa的扫描策略,也可以全选(扫描时间会慢一点)
图1.2.1.6
安装如下进行操作,继续下一步
图1.2.1.7
点击scan,进行扫描,等待扫描完成
图1.2.1.8
扫描完成后,如下图所示
图1.2.1.9
针对界面进行一个介绍
1.5 fortify导出报告
点击导航栏tools->reports->generate BIRT Report进行导出报告
图1.2.5.1
选择CWE Top 25 2019,在选择导出路径
图1.2.5.2
图1.2.5.3
进行导出,如下图,导出成功
图1.2.5.4
根据设置的路径,找到导出的报告
图1.2.5.5
打开报告,如下图
图1.2.5.6