最近有好多师傅问我fortify怎么安装、怎么使用、怎么导出符合客户要求的报告。今天整理一下笔记,把它发出来hhh
0x01 工具简介
Fortify是一款强大的静态代码扫描分析工具,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。
它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。
支持语言列表
asp.netVB.Netc#.NetASPVS6javaJSPjavascriptHTMLXMLC/C++PHPT-SQLPL/SQLAction scriptObject-C (iphone-2012/5)ColdFusion5.0 - 选购python -选购COBOL - 选购SAP-ABAP -选购
0x02 软件安装
本次安装的是fortify v20.1.1
1. 双击Fortify_SCA_and_Apps_20.1.1_windows_x64.exe安装
2. 替换jar文件,把安装包中fortify-common-20.1.1.0007.jar替换至fortify目录Corelibfortify-common-20.1.1.0007.jar
3. 导入规则文件,把压缩包中rules文件夹,替换至fortify目录Coreconfigrules
4. 安装完成后,在开始菜单找一下,或者安装目录的bin目录下双击这个文件运行
0x03 Fortify SCA扫描
扫描示例项目WebGoat
fortify在安装过程中会在软件目录中添加示例源代码,位置在软件根目录/Samples文件夹,这里选择SamplesadvancedwebgoatWebGoat5.0项目作为扫描目标。
Scan Java Project
project选择WebGoat项目所在位置,然后选择本项目所用java版本,选项默认即可,等待扫描完成
此时扫描完成,.fpr源文件默认保存在用户文件夹AppDataLocalFortifyAWB-20.1.1下
0x04 扫描报告导出
Tools - Reports
有两种报告模式:Generate BIRT Report 和 Generate Legacy Report
这里选择 BIRT Report
Developer Workbook
导出格式html和pdf均可,html更便于翻译 Report报告如图
请回复 “fortify” 获取文章pdf版
【历史文章】:
学习更多技术,关注我:
觉得文章不错给点个‘再看’吧
原文始发于微信公众号(编码安全研究):代码审计工具Fortify SCA使用 | 附pdf版教程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论