Fortify-详解

admin
admin
admin
138717
文章
114
评论
2022年9月8日16:41:35评论192 views字数 1093阅读3分38秒阅读模式
免责声明
写在前面:内容仅用于学习交流使用;由于传播、利用本安全猎人所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号安全猎人安全及作者不为承担任何责任,一旦造成后果请使用者自行承担!如有侵权,请及时告知,我们会立即删除并致歉

Fortify-详解

0x01 前言

Fortify是Micro Focus旗下AST (应用程序安全测试)产品 ,其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Center是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。

Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效安全监测,Fortify具有源代码安全分析,可精准定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。

简介

Fortify 是⼀个静态的、⽩盒的软件源代码安全测试⼯具。它通过内置的五⼤主要分析引擎:数据流、语义、结构、控制流、配置流等对应
⽤软件的源代码进⾏静态的分析,通过与软件安全漏洞规则集进⾏匹配、查找,从⽽将源代码中存在的安全漏洞扫描出来,并可导出报告。
扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。

原理

⾸先通过调⽤语⾔的编译器或者解释器把前端的语⾔代码(如JAVA,C/C++源代码)转换成⼀种中间媒体⽂件NST(Normal Syntax
Tree),将其源代码之间的调⽤关系,执⾏环境,上下⽂等分析清楚。
-通过分析不同类型问题的静态分析引擎分析NST⽂件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息
的FPR结果⽂件,⽤AWB打开查看。

使用详解

Fortify-详解

Fortify-安装包及详解获取方式

关注公众号“安全猎人”

回复「Fortify」获取下载链接


欢迎师傅们加入我的 安全猎人的小屋(添加好友备注加群),一起学习进步~后面不定期发布更多资源,更多惊喜等着大家。

Fortify-详解

欢迎 点赞 + 在看、分享本公众号 给更多师傅们哈

❤️

----------------往期精选-----------------

电子数据取证-计算机系统概论

电子数据取证-电子取证流程与技术

取证常用工具

物联网安全测试合集

apk安全测试常用工具

apk安全测试笔记

数据加密-密码学

注:
封面来源于壁纸网站:http://www.netbian.com/s/chaogaoqing

原文始发于微信公众号(安全猎人):Fortify-详解

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月8日16:41:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Fortify-详解https://cn-sec.com/archives/1286387.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息