欧美亚洲综合图区在线|天天射天天干国产成卜|99久久免费国产精精品|国产的欧美一区二区三区|日韩中文字幕无码不卡专区|亚麻成人aV极品一区二区|国产成人AV区一区二区三|成人免费一区二区三区视频网站

當(dāng)前位置:首頁 > 軟件開放 > 正文內(nèi)容

搜索匹配代碼jsp(jsp 搜索)

軟件開放1年前 (2024-03-30)439

Fortify是一款商業(yè)級(jí)的源碼掃描工具,其工作示意圖如下

首先Fortify對(duì)源碼進(jìn)行分析(需要編譯),然后提取出相關(guān)信息保存到某個(gè)位置,然后加載規(guī)則進(jìn)行掃描,掃描的結(jié)果保存為 .fpr 文件,然后用戶使用 GUI 程序?qū)Y(jié)果進(jìn)行分析,排查漏洞。

環(huán)境搭建

本文的分析方式是在 Linux 上對(duì)源碼進(jìn)行編譯、掃描,然后在 Windows 平臺(tái)對(duì)掃描結(jié)果進(jìn)行分析,所以涉及 Windows 和 Linux 兩個(gè)平臺(tái)的環(huán)境搭建。

環(huán)境搭建

環(huán)境搭建比較簡單,省略。

工具使用

本節(jié)涉及代碼

https://github.com/hac425xxx/sca-workshop/tree/master/fortify-example

Fortify的工作原理,首先會(huì)需要使用Fortify對(duì)目標(biāo)源碼進(jìn)行分析提取源代碼中的信息,然后使用規(guī)則從源碼信息中查詢出匹配的代碼。

首先下載代碼然后使用 sourceanalyzer 來分析源碼

/home/HKS/sca/fortify/bin/sourceanalyzer -b fortify-example make

其中

搜索匹配代碼jsp(jsp 搜索)

·-b 指定這次分析的 id

展開全文

·后面是編譯代碼時(shí)使用的命令,這里是 make

分析完代碼后再次執(zhí)行 sourceanalyzer 對(duì)源碼進(jìn)行掃描

/home/HKS/sca/fortify/bin/sourceanalyzer -b fortify-example -scan -f fortify-example.fpr

其中

·-b 指定掃描的 id 和之前分析源碼時(shí)的 id 對(duì)應(yīng)

·-scan 表示這次是采用規(guī)則對(duì)源碼進(jìn)行掃描

·-f 指定掃描結(jié)果輸出路徑,掃描結(jié)果可以使用 auditworkbench.cmd 進(jìn)行可視化的分析。

生成 .fpr 結(jié)果后可以使用 auditworkbench 加載分析

system命令執(zhí)行檢測

本節(jié)涉及代碼

https://github.com/hac425xxx/sca-workshop/tree/master/fortify-example/system_rules

漏洞代碼如下

int call_system_example(){ char *user = get_user_input_str(); char *xx = user; system(xx); return 1;}

首先通過 get_user_input_str 獲取外部輸入, 然后傳入 system 執(zhí)行。

1.RulePackID 表示這個(gè)規(guī)則文件的 ID, 設(shè)置符合格式的唯一字符串即可

2.RuleDefinitions 里面是這個(gè)xml文件中的所有規(guī)則,每個(gè)規(guī)則作為RuleDefinitions的子節(jié)點(diǎn)存在,比如示例中的 DataflowSourceRule 節(jié)點(diǎn),表示這是一個(gè) DataflowSource 規(guī)則,用于指定數(shù)據(jù)流跟蹤的 source

我們開發(fā)規(guī)則實(shí)際也只需要在 RuleDefinitions 中新增對(duì)應(yīng)的規(guī)則節(jié)點(diǎn)即可。

Fortify 也支持污點(diǎn)跟蹤功能,下面就介紹如何定義 Fortify 的污點(diǎn)跟蹤規(guī)則,首先我們需要定義 source ,DataflowSourceRule 規(guī)則用于定義污點(diǎn)源,不過這個(gè)只支持定義函數(shù)的一些屬性作為污點(diǎn)源,比如返回值、參數(shù)等,返回值是污點(diǎn)數(shù)據(jù),規(guī)則的解釋如下:

1.首先 RuleID 用于唯一標(biāo)識(shí)一條規(guī)則

2.FunctionIdentifier 用于匹配一個(gè)函數(shù), 其中包含一個(gè) FunctionName 子節(jié)點(diǎn),表示通過函數(shù)名進(jìn)行匹配,這里就是匹配 get_user_input_str 函數(shù)

3.然后 OutArguments 用于定義污點(diǎn)源, return 表示該函數(shù)的返回值是污點(diǎn)數(shù)據(jù),如果該節(jié)點(diǎn)的值為數(shù)字 n , 則表示第 n 個(gè)參數(shù)為污點(diǎn)數(shù)據(jù),n 從0開始計(jì)數(shù)。

定義好 source 點(diǎn)后,還需要定義 sink 點(diǎn),DataflowSinkRule 規(guī)則用于定義 sink 點(diǎn)

這條規(guī)則的作用是設(shè)置 system 的第 0 個(gè)參數(shù)為 sink 點(diǎn),規(guī)則解釋如下:

1.VulnCategory 是一個(gè)字符串,會(huì)在掃描結(jié)果中呈現(xiàn)

2.FunctionIdentifier 用于匹配一個(gè)函數(shù),這里就是匹配 system 函數(shù)

3.Sink 和 InArguments 用于表示函數(shù)的第 0 個(gè)參數(shù)為 sink 點(diǎn)

規(guī)則編寫完后,保存成一個(gè) xml 文件,然后在對(duì)源碼進(jìn)行掃描時(shí)通過 -rules 指定自定義的規(guī)則文件即可

/home/hac425/sca/fortify/bin/sourceanalyzer -rules system.xml -b fortify-example -scan -f fortify-example.fpr -no-default-rules

ps: -no-default-rules 表示不使用Fortify的默認(rèn)規(guī)則,這里主要是在自己開發(fā)規(guī)則時(shí)避免干擾。

掃描的結(jié)果如下

規(guī)則作用是告知 Fortify 調(diào)用 custom_memcpy 函數(shù)時(shí),第 1 個(gè)參數(shù)的污點(diǎn)數(shù)據(jù)會(huì)傳播到第 0 個(gè)參數(shù),結(jié)果如下

system命令執(zhí)行檢測 # 2

除了使用 DataflowSourceRule 、DataflowSinkRule 等規(guī)則來定義污點(diǎn)跟蹤相關(guān)的屬性外,F(xiàn)ortify還支持使用 CharacterizationRule 來定義污點(diǎn)跟蹤相關(guān)的特性。

其中對(duì)應(yīng)關(guān)系如下圖所示:

根據(jù)文檔的使用示例,修修改改很快就可以使用 CharacterizationRule 來搜索出涉及 system 命令執(zhí)行的代碼,代碼路徑如下

https://github.com/hac425xxx/sca-workshop/blob/master/fortify-example/system_rules/system_CharacterizationRule.xml

介紹具體的 CharacterizationRule 規(guī)則實(shí)現(xiàn)之前,先介紹一下 StructuralRule 規(guī)則,因?yàn)?CharacterizationRule 就是通過 StructuralRule 的語法來匹配代碼中的語法結(jié)構(gòu)。

StructuralRule 官方文檔中的內(nèi)容

Fortify在編譯/分析代碼過程中會(huì)把代碼中的元素(代碼塊、類、表達(dá)式、語句等)通過樹狀結(jié)構(gòu)體組裝起來形成一顆 structural tree,然后掃描的時(shí)候使用 Structural Analyzer 來解析 StructuralRule ,最后輸出匹配。

其中 StructuralMatch 使用 StructuralRule 的語法來匹配代碼,然后在 Definition 里面可以使用一些API(比如TaintSource)和匹配到的代碼元素來標(biāo)記污點(diǎn)跟蹤相關(guān)的熟悉,比如污點(diǎn)源、Sink點(diǎn)等,這里要注意一點(diǎn):Definition 中可以訪問到 StructuralMatch 中聲明的所有變量,不論是通過 : 還是通過 [] 聲明。

上述規(guī)則的作用就是

1.首先通過 StructuralMatch 匹配到 get_user_input_str 的函數(shù)調(diào)用對(duì)象 fc.

2.然后在 Definition ,使用 TaintSource 設(shè)置 fc 為污點(diǎn)源,污點(diǎn)標(biāo)記為 PRIVATE.

規(guī)則解釋如下:

1.首先使用 StructuralMatch 匹配 fc 為 system 的函數(shù)調(diào)用, e 為 fc 的第0個(gè)參數(shù)

2.然后在 Definition 使用 TaintSink 設(shè)置 e 為sink點(diǎn),污點(diǎn)標(biāo)記為 PRIVATE.

這樣就表示如果 system 函數(shù)調(diào)用的第 0 個(gè)參數(shù)為污點(diǎn)數(shù)據(jù)且污點(diǎn)數(shù)據(jù)中包含 PRIVATE 標(biāo)記,就會(huì)把這段代碼爆出來。

其他的規(guī)則(函數(shù)建模,clean_data函數(shù))也是類似這里不再介紹,最終掃描結(jié)果如下圖:

在開發(fā) Structural相關(guān)規(guī)則時(shí)可以在分析時(shí)使用 -Ddebug.dump-structural-tree 把代碼的 structural tree 打印出來,然后我們根據(jù)樹的結(jié)構(gòu)就可以比較方便的開發(fā)規(guī)則,完整命令行如下

/home/hac425/sca/fortify/bin/sourceanalyzer -no-default-rules -rules hello_array.xml -b fortify-example -scan -f fortify-example.fpr -D com.fortify.sca.MultithreadedAnalysis=false -Ddebug.dump-structural-tree 2 tree.tree

打印出來的示例如下

關(guān)于蘇州華克斯信息科技有限公司

專業(yè)的測試及安全產(chǎn)品服務(wù)提供商

Fortify | Webinspect | AppScan | SonarQube | 極狐GitLab

LoadRunner | UFT(QTP) | ALM(QC)

掃描二維碼推送至手機(jī)訪問。

版權(quán)聲明:本文由飛速云SEO網(wǎng)絡(luò)優(yōu)化推廣發(fā)布,如需轉(zhuǎn)載請(qǐng)注明出處。

本文鏈接:http://m.landcheck.net/post/101177.html

標(biāo)簽: 搜索匹配代碼jsp

“搜索匹配代碼jsp(jsp 搜索)” 的相關(guān)文章

ug軟件下載官方網(wǎng)站(ug軟件手機(jī)版下載)

ug軟件下載官方網(wǎng)站(ug軟件手機(jī)版下載)

本篇文章給大家談?wù)剈g軟件下載官方網(wǎng)站,以及ug軟件手機(jī)版下載對(duì)應(yīng)的知識(shí)點(diǎn),希望對(duì)各位有所幫助,不要忘了收藏本站喔。 本文目錄一覽: 1、誰有UG軟件下載的網(wǎng)站?。看_定可用的,最好是能配套u(yù)g教程,ug8.0,ug8.5都可以 2、UG軟件怎么下載和安裝?圖文教程 3、UG4.0軟件下載地址...

linux源碼編譯安裝(Linux源碼安裝)

linux源碼編譯安裝(Linux源碼安裝)

今天給各位分享linux源碼編譯安裝的知識(shí),其中也會(huì)對(duì)Linux源碼安裝進(jìn)行解釋,如果能碰巧解決你現(xiàn)在面臨的問題,別忘了關(guān)注本站,現(xiàn)在開始吧!本文目錄一覽: 1、linux下面yum安裝和源碼編譯安裝的區(qū)別 2、linux怎樣編譯git源碼包 3、Linux內(nèi)核源碼如何編譯 4、linu...

運(yùn)營一款不存在的游戲是什么游戲(運(yùn)營一款不存在的游戲是什么游戲類型)

運(yùn)營一款不存在的游戲是什么游戲(運(yùn)營一款不存在的游戲是什么游戲類型)

今天給各位分享運(yùn)營一款不存在的游戲是什么游戲的知識(shí),其中也會(huì)對(duì)運(yùn)營一款不存在的游戲是什么游戲類型進(jìn)行解釋,如果能碰巧解決你現(xiàn)在面臨的問題,別忘了關(guān)注本站,現(xiàn)在開始吧!本文目錄一覽: 1、哪個(gè)游戲好玩些 2、有什么好玩的休閑網(wǎng)絡(luò)游戲 3、免費(fèi)網(wǎng)絡(luò)游戲 4、有什么好玩的大型游戲? 5、全...

168開獎(jiǎng)極速賽車騙局全過程(168極速賽車開獎(jiǎng)的視頻)

168開獎(jiǎng)極速賽車騙局全過程(168極速賽車開獎(jiǎng)的視頻)

本篇文章給大家談?wù)?68開獎(jiǎng)極速賽車騙局全過程,以及168極速賽車開獎(jiǎng)的視頻對(duì)應(yīng)的知識(shí)點(diǎn),希望對(duì)各位有所幫助,不要忘了收藏本站喔。 本文目錄一覽: 1、極速賽車的技巧怎么玩? 2、168極速賽車是哪個(gè)國家的 3、極速賽車買前5名的方法 4、168極速賽車來源于哪個(gè)國家 5、極速賽車有...

URL不合法怎么辦(url有問題怎么辦)

URL不合法怎么辦(url有問題怎么辦)

今天給各位分享URL不合法怎么辦的知識(shí),其中也會(huì)對(duì)url有問題怎么辦進(jìn)行解釋,如果能碰巧解決你現(xiàn)在面臨的問題,別忘了關(guān)注本站,現(xiàn)在開始吧!本文目錄一覽: 1、URL不合法怎么辦? 2、URL不合法啥意思 3、url不合法是怎么回事? URL不合法怎么辦? URL就是能獲取你要下載的資源的下...

404頁面模板下載(404頁面怎么寫)

404頁面模板下載(404頁面怎么寫)

本篇文章給大家談?wù)?04頁面模板下載,以及404頁面怎么寫對(duì)應(yīng)的知識(shí)點(diǎn),希望對(duì)各位有所幫助,不要忘了收藏本站喔。 本文目錄一覽: 1、網(wǎng)站404頁面怎么設(shè)置 設(shè)置過程中需要注意那些東西 2、怎么給織夢網(wǎng)站做一個(gè)404頁面 3、網(wǎng)站404頁面怎么做 網(wǎng)站404頁面怎么設(shè)置 設(shè)置過程中需要注意...