簡介

Fortify 是一個(gè)靜態(tài)的、白盒的軟件源代碼安全測試工具。它通過內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語義、結(jié)構(gòu)、控制流、配置流等對(duì)應(yīng)用軟件的源代碼進(jìn)行靜態(tài)的分析，通過與軟件安全漏洞規(guī)則集進(jìn)行匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并可導(dǎo)出報(bào)告。掃描的結(jié)果中包括詳細(xì)的安全漏洞信息、相關(guān)的安全知識(shí)、修復(fù)意見。

原理

-首先通過調(diào)用語言的編譯器或者解釋器把前端的語言代碼(如JAVA，C/C++源代碼)轉(zhuǎn)換成一種中間媒體文件NST(Normal Syntax Tree)，將其源代碼之間的調(diào)用關(guān)系，執(zhí)行環(huán)境，上下文等分析清楚。

-通過分析不同類型問題的靜態(tài)分析引擎分析NST文件，同時(shí)匹配所有規(guī)則庫中的漏洞特征，將漏洞抓取出來，然后形成包含詳細(xì)漏洞信息的FPR結(jié)果文件，用AWB打開查看。

支持語言

1.asp.net

2.VB.Net

3.c#.Net

4.ASP

5.VS6

7.java

8.JSP

9.javascript

10.HTML

11.XML

12.C/C++

13.PHP

14.T-SQL

15.PL/SQL

16.Action script

17.Object-C (iphone-2012/5)

18.ColdFusion5.0 - 選購

19.python -選購

20.COBOL - 選購

21.SAP-ABAP -選購

掃描步驟

配置信息：HP Fortify SCA and Applications 4.10+WIN10(64位家庭版)

步驟1、打開fortify的工作臺(tái)

360截圖167203306411691.png

步驟2、如果源代碼是java，選擇Scan Java，源碼是C#選擇Scan VS，不知道的話選擇Advanced Scan

2.png

步驟3、選擇代碼文件夾(不建議將文件夾拆開，如果文件夾過大，可要求開發(fā)人員拆開，按文件夾分開掃描)

3.png

步驟4、確定后，彈出通知框，如下圖，選擇java版本，點(diǎn)擊OK

4.png

根據(jù)情況選擇后，點(diǎn)擊Scan，等待掃描

5.png

6.png

步驟5、掃描完成后的界面

360截圖17690619437688.png

360截圖17630328417186.png

tips：可通過菜單欄進(jìn)行界面的組件的配置

360截圖17001022376126.png

步驟6、對(duì)結(jié)果進(jìn)行分析，填寫分析結(jié)論及備注信息

360截圖1700102097141113.png

步驟7、點(diǎn)擊菜單欄的reports，選擇審計(jì)規(guī)則，導(dǎo)出即可

360截圖18250901395795.png

總結(jié)

以上是生活随笔為你收集整理的fotify php审计,代码安全审计（二）Fortify介绍及使用教程的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。