0


[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

一、Fortify介绍

1、Fortify简介

Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。

2、Fortify原理

首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚。
通过分析不同类型问题的静态分析引擎分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。

3、Fortify SCA引擎介绍:

数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析过程中不安全的函数,方法的使用的安全问题。
结构引擎:分析程序上下文环境、结构中的安全问题。
控制流引擎:分析程序特定时间、状态下执行操作指令的安全问题。
配置引擎:分析项目配置中的敏感信息和配置确实的安全问题。

4、Fortify支持语言

FortifySCA支持的21语言,分别是:

1、asp.net
2、VB.Net
3、c#.Net4、ASP
5、VBscript
6、VS6
7、java
8、JSP
9、javascript
10、HTML
11、XML
12、C/C++
13、PHP
14、T-SQL
15、PL/SQL
16、Action script
17、Object-C (iphone-2012/5)18、ColdFusion5.0 - 选购
19、python -选购
20、COBOL - 选购
21、SAP-ABAP -选购

二、Fortify下载

CSDN有积分的小伙伴可以在CSDN直接下载,方便快捷,还能给我加几个积分,哈哈哈
CSDN下载链接:

https://download.csdn.net/download/qq_51577576/87341637

把百度网盘链接删除之后就提示不限流了 。。。。。。文章质量就提高了 ??????

这里是我添加了两个链接,其中有一个是我自己百度网盘分享的,一个是我传到CSDN的,提示文章质量低下,然后我删了百度网盘分享链接。。。。。。
为了照顾到CSDN没有积分的小伙伴们,我最终还是把百度网盘的链接加上来了

百度网盘下载

在这里插入图片描述

把百度网盘链接删除之后就提示不限流了 。。。。。。文章质量就提高了 ??????

在这里插入图片描述

三、Fortify安装

1、双击exe文件

在这里插入图片描述

2、点击next

在这里插入图片描述

3、同意协议,点击下一步

在这里插入图片描述

4、选择安装路径、点击下一步

在这里插入图片描述

5、选择组件、点击下一步

在这里插入图片描述

6、选择license、点击下一步

License在下载文件里面有

在这里插入图片描述

7、选择更新服务器,这里可以不用填写

在这里插入图片描述

8、移除之前版本选择No

在这里插入图片描述

9、安装实例代码项目选择No

在这里插入图片描述

10、准备安装、点击下一步

在这里插入图片描述

11、等待安装中

在这里插入图片描述

12、安装完成、点击Finish及完成安装

记得把自动更新取消,我们后续会设置中文

在这里插入图片描述

13、替换jar包

fortify安装:安装好之后,将下载的fortify-common-20.1.1.0007.jar包替换掉fortify安装目录下的Core\lib目录下的同名包

在这里插入图片描述
在这里插入图片描述

14、添加rules和ExternalMetadata

将规则包rules,将文件放入\Core\config\目录下;

在这里插入图片描述
在这里插入图片描述

15、运行fortify

在这里插入图片描述

16、提示是否更新规则,我们选No

这里我直接截图标注标注反了

在这里插入图片描述

17、打开后界面如下

在这里插入图片描述

四、修改语言为中文

其实上面完成就已经是中文了,关键在于第十六步,一定要选择NO,不能让他自动更新规则。
那么如果不是中文如何改成中文呢,有两种方式。

1、运行scapostinstall.cmd修改为中文

1. 运行scapostinstall.cmd

安装路径\Fortify\Fortify_SCA_and_Apps_20.1.1\bin

在这里插入图片描述

2. 选择设置

我们直接输入2就行

[1] Migration...
[2] Settings...
[s] Display all settings
[q] Exit
Please select the desired action (1,2,s,q): 2

在这里插入图片描述

3. 选择常规设置

直接输入1就可以了

在这里插入图片描述

4. 选择本地的

直接输入1就可以了

在这里插入图片描述

5. 选择中文

输入zh_CN按回车就ok了

在这里插入图片描述

6. 退出设置面板

直接键入q退出就ok了

在这里插入图片描述

2、直接再fortify前端面板修改设置

1. 进入选项

重启fortify,选择菜单栏的options,接着选择options

在这里插入图片描述

2. 选择语种

根据如图选择,然后点击ok就设置完成了

在这里插入图片描述

五、Fortify简单扫描并导出报告

1、打开工作台

在这里插入图片描述

2、选择静态代码所在目录,进行扫描

我这里选择高级,让他自动识别

在这里插入图片描述

点击之后,跳转到文件目录,我们选择一个demo

在这里插入图片描述

确认信息,下一步

在这里插入图片描述

scan

在这里插入图片描述

3、扫描完成

在这里插入图片描述

查看扫描结果详细信息

在这里插入图片描述

4、导出报告

我们设置了中文语言之后导出的报告就是中文报告。

在这里插入图片描述

在这里插入图片描述

导出成功

在这里插入图片描述

5、查阅报告

这是我刚刚下载的PDF

在这里插入图片描述

打开发现是中文的,非常nice

在这里插入图片描述

六、相关资源

1、Fortify下载连接


本文转载自: https://blog.csdn.net/qq_51577576/article/details/128429287
版权归原作者 _PowerShell 所有, 如有侵权,请联系我们删除。

“[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告”的评论:

还没有评论