51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2104|回复: 0
打印 上一主题 下一主题

商业级别Fortify白盒神器介绍与使用分析

[复制链接]
  • TA的每日心情
    无聊
    前天 09:06
  • 签到天数: 530 天

    连续签到: 2 天

    [LV.9]测试副司令

    跳转到指定楼层
    1#
    发表于 2018-12-17 16:39:01 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    本帖最后由 测试积点老人 于 2018-12-17 16:40 编辑

    什么是fortify它又能干些什么?

    答:fottify全名叫:Fortify SCA ,是HP的产品 ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。


    它支持扫描多少种语言?

    答:FortifySCA支持的21语言,分别是:     

    1. 1. asp.net     
    2. 2. VB.Net     
    3. 3. c#.Net     
    4. 4. ASP     
    5. 5. VBscript     
    6. 6. VS6     
    7. 7.java     
    8. 8.JSP     
    9. 9.javascript     
    10. 10. HTML     
    11. 11. XML     
    12. 12. C/C++     
    13. 13.PHP     
    14. 14.T-SQL     
    15. 15.PL/SQL     
    16. 16. Action script      
    17. 17. Object-C (iphone-2012/5)     
    18. 18. ColdFusion5.0 - 选购     
    19. 19. python -选购     
    20. 20. COBOL - 选购     
    21. 21.SAP-ABAP -选购
    复制代码

    他是免费的吗?

    答:不是,是收费的。当然网上也没有破解的。貌似他一个月收费10万。


    如何使用?

    安装fortify之后,打开



    界面:


    选择高级扫描



    他问要不要更新? 我就选择No,因为这是我私人的,我是在2015年7月份购买的试用期为1个月。怕更新了就用不了了。如果你购买了可以选择YES。

    选择之后出现如下界面



    浏览意思是:扫描之后保存的结果保存在哪个路径。

    然后点击下一步。



    参数说明:

    enable clean :把上一次的扫描结果清楚,除非换一个build ID,不然中间文件可能对下一次扫描产生影响。
    enable translation: 转换,把源码代码转换成nst文件
    -64: 是扫描64位的模式,sca默认扫描是32位模式。
    -Xmx4000m:4000M大概是4G,制定内存数-Xmx4G :也可以用G定义这个参数建议加
    -encoding: 定制编码,UTF-8比较全,工具解析代码的时候指定字符集转换的比较好,建议加,如果中文注释不加会是乱码。
    -diable-source-:rendering:不加载与漏洞无关的代码到审计平台上,不建议加,这样代码显示不全。


    然后点击下一步


    它说:这是一个J2EE Web应用

    选择No    (因为你扫的是PHP)

    然后scan(开始扫描)



    Always run in background 意思:总是在后台运行

    run in background 意思:后台运行

    cancel 意思 : 取消

    Details 意思:细节


    扫完之后:


    none 代表其他 1个
    A1 注入 7个
    A3 xss 37个
    A4 不安全的直接对象引用 35个
    A6 敏感数据暴露 4个
    A10 未验证的重定向和转发 2个

    如果发现是英文的,想改成如下方法中文



    以下是官网提供的分析图:









    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-23 20:21 , Processed in 0.062441 second(s), 25 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表