Fortify掃描漏洞(dong)解(jie)決方案
Log Forging漏洞
1.數據從(cong)一(yi)個不可(�����ke)信賴的數據源進入������應用程(cheng)序。 在這種情況下,數據經由getParameter()到后(hou)臺。
2. 數(shu)據寫入到(dao)應用(yong)(yong)(yong)程(cheng)序(xu)或(huo)系統(tong)日(ri)(ri)(ri)志(zhi)(zhi)文(wen)(wen)(wen)件(jian)中(zhong)(zhong)。 這種情況下(xia),數(shu)據通(tong)過(guo)info() 記錄下(xia)來。為了便(bian)于以(yi)(yi)(yi)后(hou)的(de)(de)(de)審閱(yue)、統(tong)計數(shu)據收集或(huo)調試,應用(yong)(yong)(yong)程(cheng)序(xu)通(tong)常使用(yong)(yong)(yong)日(ri)(ri)(ri)志(zhi)(zhi)文(wen)(wen)(wen)件(jian)來儲存事(shi)件(jian)或(huo)事(shi)務的(de)(de)(de)歷史記錄。根據應用(yong)(yong)(yong)程(cheng)序(xu)自(zi)身的(de)(de)(de)特性,審閱(yue)日(ri)(ri)(ri)志(zhi)(zhi)文(wen)(wen)(wen)件(jian)可(ke)在必要(yao)時手(shou)動執(zhi)行(xing),也可(ke)以(yi)(yi)(yi)自(zi)動執(zhi)行(xing),源代碼(ma)(ma)掃描工(gong)具fortify哪里有賣,即利用(yong)(yong)(yong)工(gong)具自(zi)動挑選日(ri)(ri)(ri)志(zhi)(zhi)中(zhong)(zhong)的(de)(de)(de)重要(yao)事(shi)件(jian)或(huo)帶有某種傾向(xiang)性的(de)(de)(de)信息(xi)。如果(guo)(guo)攻(gong)(gong)擊(ji)者(zhe)(zhe)可(ke)以(yi)(yi)(yi)向(xiang)隨后(hou)會被逐字記錄到(dao)日(ri)(ri)(ri)志(zhi)(zhi)文(wen)(wen)(wen)件(jian)的(de)(de)(de)應用(yong)(yong)(yong)程(cheng)序(xu)提(ti)供數(shu)據,則可(ke)能會妨(fang)礙或(huo)誤(wu)導日(ri)(ri)(ri)志(zhi)(zhi)文(wen)(wen)(wen)件(jian)的(de)(de)(de)解(jie)讀。的(de)(de)(de)情況是,攻(gong)(gong)擊(ji)者(zhe)(zhe)可(ke)能通(tong)過(guo)向(xiang)應用(yong)(yong)(yong)程(cheng)序(xu)提(ti)供包括適當字符的(de)(de)(de)輸(shu)入,在日(ri)(ri)(ri)志(zhi)(zhi)文(wen)(wen)(wen)件(jian)中(zhong)(zhong)插入錯(cuo)誤(wu)的(de)(de)(de)條目。如果(guo)(guo)日(ri)(ri)(ri)志(zhi)(zhi)文(wen)(wen)(wen)件(jian)是自(zi)動處(chu)理的(de)(de)(de),那么攻(gong)(gong)擊(ji)者(zhe)(zhe)可(ke)以(yi)(yi)(yi)破壞文(wen)(wen)(wen)件(jian)格(ge)式或(huo)注入意外的(de)(de)(de)字符,從而使文(wen)(wen)(wen)件(jian)無法(fa)使用(yong)(yong)(yong)。更陰(yin)險(x���������ian)的(de)(de)(de)攻(gong)(gong)擊(ji)可(ke)能會導致日(ri)(ri)(ri)志(zhi)(zhi)文(wen)(wen)(wen)件(jian)中(zhong)(zhong)的(de)(de)(de)統(tong)計信息(xi)發生偏差。通(tong)過(guo)或(huo)其他(ta)方式,受(shou)到(dao)破壞的(de)(de)(de)日(ri)(ri)(ri)志(zhi)(zhi)文(wen)(wen)(wen)件(jian)可(ke)用(yong)(yong)(yong)于掩(yan)護(hu)攻(gong)(gong)擊(ji)者(zhe)(zhe)的(de)(de)(de)跟蹤軌跡,甚至還可(ke)以(yi)(yi)(yi)牽連第三方來執(zhi)行(xing)惡意行(xing)為。糟糕(gao)的(de)(de)(de)情況是,攻(gong)(gong)擊(ji)者(zhe)(zhe)可(ke)能向(xiang)日(ri)(ri)(ri)志(zhi)(zhi)文(wen)(wen)(wen)件(jian)注入代碼(ma)(ma)或(huo)者(zhe)(zhe)其他(ta)命令(ling),利用(yong)(yong)(yong)日(ri)(ri)(ri)志(zhi)(zhi)處(chu)理實(shi)用(yong)(yong)(yong)程(cheng)序(xu)中(zhong)(zhong)的(de)(de)(de)漏洞。
Fortify SCA如何使(shi)用(yong)!
安(an)裝fortify之后,打開
界面:
選擇掃描
他問要(yao)不要(yao)更(geng)新? 如(ru)果你購買了�����可以(yi)選(xuan)擇������YES。
選擇之后出現如下(xia)界面
瀏覽意(yi)思是:掃描(miao)之�����(zhi)后保存(cun)的(de)結果(guo)保存(cun)在哪個路徑。
然后點擊下一步。
參數說明:
1、enable clean :把上(shang)一(yi)次(ci)的掃(sao)描結(jie)果(guo)清(qing)楚,除非換一(yi)個������(ge)build ID,不然中間文件可(ke)能對下(�������xia)一(yi)次(ci)掃(sao)描產生影響。
2、e������nable translation: 轉(zhuan)換,把(ba)源碼(ma)(ma)代碼(ma)(ma)轉(zhuan)換�����成(cheng)nst文件
3、64: 是掃描(miao)64位的模(mo)式(shi),源代碼審計工具fortify哪里有(yo����u)賣,sca默認掃描(miao)是32位模(mo)式(shi)。
4、-Xmx4000m:4000���M大概是(shi)4G,制定內存數(������shu)-Xmx4G :也可以用G定義這個參數(shu)建議(yi)加
5、-encoding: 定制編(bian)碼(ma),UTF-8比(bi)較全,工具解析代碼(ma)的(de)時候(hou)字(zi)符集������������轉換的(de)比(bi)較好,建議(yi)加(jia),如果中文注釋不加(jia)會是亂碼(ma)。
6、-d������iable-source-:rendering:不加載與(yu)漏洞無關的代碼到審(she������n)計平臺上,fortify哪里(li)有賣,不建議(yi)加,這樣(yang)代碼顯示(shi)不全。
Fortify SCA的十一大(da)優勢(shi):
1.Fort������ifySCA支持系統平(ping)臺是(shi)的,源代碼檢測工具fortify哪里有賣,能掃描的語(yu)言種(zhong)類是(shi)的。
2.FortifySCA能面(mian)地(五個(ge)方(f������ang)面(mian))分析源代碼(ma��������)中存在的(de)問題。
3.FortifySCA能夠(gou)掃描出來300多種漏(lou)洞,業界中(zhong)是的(de)����������。
4.FortifySCA的測試速度是比較快的,約(yue)15分種1萬行(xing)。
5.FortifySCA提供了(le)強大的審計平臺和詳細的漏(lou)洞信(xin)息。
6.FortifvSCA提供了漏洞的詳細(xi)說明(ming)和相應(ying)的修復建議。
7.�����FortifySCA提供了中文詳細說(shuo)明和相(xi����ang)應的(de)修(xiu)復建議信息。
8.FortifySCA����支����持(chi)成熟(shu)的IDE開發環境,如EclipseVisual Studio
9.FortifySCA操作簡單(dan),使用方便(bian),易(yi)用。
10.FortifySCA提供多種(zhong)漏洞報表(biao)。
11.FortifvSCA獲得過許(xu)多國際大(da)獎,目(mu)前是同類(lei)產品
蘇州華克斯信息-fortify哪里有賣由蘇州華克斯信息科技有限公司提供。蘇州華克斯信息科技有限公司擁有很好的服務與產品,不斷地受到新老用戶及業內人士的肯定和信任。我們公司是商盟認證會員,點擊頁面的商盟客服圖標,可以直接與我們客服人員對話,愿我們今后的合作愉快!
咨詢電話:13862561363
第9年
