在上一家公司研究白盒技术的时候,就看到了fortify(上一家公司买的正版fortify license)的牛逼之处。
fortify官方有关于call graph的描述
include precomputed information about the program’s call graph, that is, which methods or constructors a given call may dispatch to at runtime.
其实和stackTraceElement的区别在于,没有具体的请求参数而已。
但是类、方法名都是知道的。
BTW 如果我们有规范,知道一些鉴权的方法(用户中心)的文档,其实我们还真的有可能通过静态代码去扫描出来一些越权。
还有,我以前写过文章说可以用静态代码扫出一些元数据(metadata),做基础的数据支撑的,那时候说的是自动构造poc。在spring等规范的框架下是完全可以做到的。- - 那篇文章被我删了
当然,还可以提出很多有用的数据,聪明的你肯定可以想到更好的办法。
而且fortify完全可以做到以下几点:
-
第三方代码产生数据流
-
xml文件
-
jdk分析
本文始发于微信公众号(xsser的博客):Call graph 和stackTraceElement
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论