Fortify SCA的一些浅显使用

测试积点老人

按照前面的计划，开始安全测试初步学习。

前面有个VB的系统要分析，太老了，找来找去，好像只有Fortify SCA  还有一个smartCheck（现在和DevPaterner是一家）。

遗憾的是SmartCheck用不起来。 用FortifySCA扫描了一遍，发现效果不咋地。

以前一直以为FortifySCA是渗透测试工具。这次用过以后（4.1版本），有几个浅显的认识：

• fortify sca是做源代码扫描的,白盒工具
  

• fortify sca是安全测试工具，最强的是各种安全规则方面的：例如，SQL注入，资源泄露，冗余代码，弱错误处理，JAVAScript劫持等。这次资源问题等别的问题没有查出来什么，SQL注入查了一堆，可惜不是我想要的。
  

• fortify最适合的还是JAVA项目，其他的C#、C++、VB等支持相对很弱。
  

• 用来做渗透测试还是用APPScan合适。