fortify哪里有卖-苏州华克斯信息-西南fortify

Fortify是Micro Focus旗下AST （应用程序安全测试）产品，其产品组合包括：Fortify Static Code Analyzer提供静态代码分析器（SAST），西南fortify，Fortify WebInspect是动态应用安全测试软件（DAST），Software Security Centre是软件安全中心（SSC）和 Application Defender 是实时应用程序自我保护（RASP）。

Fortify 能够提供静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护功能。为实现安全监测，Fortify具有源代码安全分析，可定位漏洞产生的路径，fortify sca，以及具有1分钟1万行的扫描速度。

Fortify扫描漏洞解决方案

Log Forging漏洞

1.数据从一个不可信赖的数据源进入应用程序。 在这种情况下，数据经由getParameter()到后台。

2. 数据写入到应用程序或系统日志文件中。 这种情况下，数据通过info() 记录下来。为了便于以后的审阅、统计数据收集或调试，源代码审计工具fortify sca，应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性，审阅日志文件可在必要时手动执行，也可以自动执行，即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据，则可能会妨碍或误导日志文件的解读。的情况是，攻击者可能通过向应用程序提供包括适当字符的输入，在日志文件中插入错误的条目。如果日志文件是自动处理的，那么攻击者可以破坏文件格式或注入意外的字符，从而使文件无法使用。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。通过或其他方式，受到破坏的日志文件可用于掩护攻击者的跟踪轨迹，甚至还可以牵连第三方来执行恶意行为。糟糕的情况是，攻击者可能向日志文件注入代码或者其他命令，利用日志处理实用程序中的漏洞。

Fortify “Project Summary（项目摘要）”面板：

“Project Summary（项目摘要）”面板提供了关于扫描的详细信息。

“Summary（摘要）”选项卡

“Certification（认证）”选项卡

“Build Information（Build 信息）”选项卡

“Analysis Information（分析信息）”选项卡

项目摘要面板

“Summary（摘要）”选项卡：

“Summary（摘要）”选项卡显示了关于本项目的信息。

“Certification（认证）”选项卡：

“Certification（认证）”选项卡显示了结果认证状态。结果认证用于检查 FPR 文件是否与 Fortify SCA 所生成的文件一致。