苏州华克斯-源代码扫描工具fortify服务商

Fortify system命令执行检测

除了使用 DataflowSourceRule 、DataflowSinkRule 等规则来定义污点跟踪相关的属性外，Fortify还支持使用 CharacterizationRule 来定义污点跟踪相关的特性。

Fortify在编译/分析代码过程中会把代码中的元素（代码块、类、表达式、语句等）通过树状结构体组装起来形成一颗 structural tree，然后扫描的时候使用 Structural Analyzer 来解析 StructuralRule ，蕞后输出匹配的代码。

下面以一个简单的示例看看 structural tree 的结构，示例代码如下

Fortify扫描漏洞解决方案

Log Forging漏洞

1.数据从一个不可信赖的数据源进入应用程序。 在这种情况下，数据经由getParameter()到后台。

2. 数据写入到应用程序或系统日志文件中。 这种情况下，数据通过info() 记录下来。为了便于以后的审阅、统计数据收集或调试，应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性，审阅日志文件可在必要时手动执行，也可以自动执行，即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据，则可能会妨碍或误导日志文件的解读。的情况是，源代码扫描工具fortify服务商，攻击者可能通过向应用程序提供包括适当字符的输入，在日志文件中插入错误的条目。如果日志文件是自动处理的，那么攻击者可以破坏文件格式或注入意外的字符，从而使文件无法使用。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。通过或其他方式，受到破坏的日志文件可用于掩护攻击者的跟踪轨迹，甚至还可以牵连第三方来执行恶意行为。糟糕的情况是，攻击者可能向日志文件注入代码或者其他命令，利用日志处理实用程序中的漏洞。

Fortify扫描Android项目

使用插件扫描是一个比较推荐的方式，因为操作简单，且环境可靠不需要重新配置。

首先肯定是获取插件，我们需要从安装Fortify开始。如果已经安装了也不要紧，直接点击安装到原有目录即可，Fortify会自动适配的。安装步骤基本都使用默认选项，但是在选择组件的环节，云南源代码扫描工具fortify，我们要记得勾选上我们需要的插件。

上图中红框是给Android Studio使用的插件，源代码扫描工具fortify哪里有卖，是本小节需要使用到的。第二个红框则是一个Visual Studio的插件，后面会用到，这里可以先勾选一下(但要记得Visual Studio的插件只能在Visual Studio已存在时安装，版本也不要选错)。安装后，可以在Fortify安装目录下的plugins﹨IntelliJAnalysis目录中找到我们需要的插件。

然后是第二步，将插件安装到Android Studio上。在Android Studio中打开插件的界面，选择设置的图标，然后选择Install Plugin from Disk...选项，选中前面说到的插件文件。然后重启Android Studio即可生效。

生效后我们可以在Android Studio的标题栏中找到Fortify选项，在Fortify->Analysis Settings...选项中，我们可以配置该插件扫描源码的规则和配置。

蕞后，我们点击Fortify->Analyze Project选项，即可扫描项目并在项目的根目录生成fpr文件