商业级别Fortify白盒神器介绍与使用分析

测试积点老人

什么是fortify它又能干些什么？

答：fottify全名叫：Fortify SCA ，是HP的产品 ，是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。

它支持扫描多少种语言？

答：FortifySCA支持的21语言，分别是：     

1. 1. asp.net     
   
2. 2. VB.Net     
   
3. 3. c#.Net     
   
4. 4. ASP     
   
5. 5. VBscript     
   
6. 6. VS6     
   
7. 7.java     
   
8. 8.JSP     
   
9. 9.javascript     
   
10. 10. HTML     
    
11. 11. XML     
    
12. 12. C/C++     
    
13. 13.PHP     
    
14. 14.T-SQL     
    
15. 15.PL/SQL     
    
16. 16. Action script      
    
17. 17. Object-C (iphone-2012/5)     
    
18. 18. ColdFusion5.0 - 选购     
    
19. 19. python -选购     
    
20. 20. COBOL - 选购     
    
21. 21.SAP-ABAP -选购

复制代码

他是免费的吗？

答：不是，是收费的。当然网上也没有破解的。貌似他一个月收费10万。

如何使用？

安装fortify之后，打开

界面：

选择高级扫描

他问要不要更新？ 我就选择No,因为这是我私人的，我是在2015年7月份购买的试用期为1个月。怕更新了就用不了了。如果你购买了可以选择YES。

选择之后出现如下界面

浏览意思是：扫描之后保存的结果保存在哪个路径。

然后点击下一步。

参数说明：

enable clean :把上一次的扫描结果清楚，除非换一个build ID,不然中间文件可能对下一次扫描产生影响。
enable translation: 转换，把源码代码转换成nst文件
-64： 是扫描64位的模式，sca默认扫描是32位模式。
-Xmx4000m:4000M大概是4G，制定内存数-Xmx4G ：也可以用G定义这个参数建议加
-encoding: 定制编码，UTF-8比较全，工具解析代码的时候指定字符集转换的比较好，建议加，如果中文注释不加会是乱码。
-diable-source-:rendering:不加载与漏洞无关的代码到审计平台上，不建议加，这样代码显示不全。

然后点击下一步

它说：这是一个J2EE Web应用

选择No    （因为你扫的是PHP）

然后scan（开始扫描）

Always run in background 意思:总是在后台运行

run in background 意思：后台运行

cancel 意思 ： 取消

Details 意思：细节

扫完之后：

none 代表其他 1个
A1 注入 7个
A3 xss 37个
A4 不安全的直接对象引用 35个
A6 敏感数据暴露 4个
A10 未验证的重定向和转发 2个

如果发现是英文的，想改成如下方法中文

以下是官网提供的分析图：