商业级别Fortify白盒神器介绍与使用分析

"什么叫fortify它又可干些哪些？

答：fottify全全名是：Fortify SCA ，是惠普的商品 ，是1个静态数据的、白盒的手机软件源码安全性检测工具。它根据内嵌的几大关键剖析模块：数据流、词义、构造、控制流、配备流等对系统软件的源码开展静态数据的剖析，剖析的全过程中与它独有的手机软件网络安全问题标准集开展全方位地配对、搜索，进而将源码中存有的安全性漏洞扫描出去，并给与梳理汇报。

它适用扫描仪是多少种語言？

答：FortifySCA适用的23語言，分別是：     

1. asp.net     

2. VB.Net     

3. c#.Net     

11. ASP     

4. VBscript     

6. VS6     

11.java     

8.JSP     

0.javascript     

11. html语言     

4. XML     

12. C/C++     

13.Python     

14.T-SQL     

15.PL/SQL     

5. Action script      

17. Object-C (iphone-2010/5)     

18. ColdFusion5.1 - 购买     

19. python -购买     

20. COBOL - 购买     

21.Sap-ABAP -购买

他是免費的吗？

答：并不是，是收费标准的。或许在网上都没有破译的。好像他一月收费标准12万。

怎么使用？

安裝fortify以后，开启

页面：

挑选高級扫描仪

他问需不需要升级？ 我也挑选No,由于这就是我个人的，我就是在2014年年7季节选购的试岗为1六个月。怕升级了就用不了。当你选购了能够挑选YES。

挑选以后出現给出页面

预览含意是：扫描仪以后储存的結果储存在哪家相对路径。

然后点击下一阶段。

主要参数表明：

enable clean :把上多次的扫描仪結果清晰，否则换个build Id,要不然正中间文档将会对下多次扫描仪造成危害。

enable translation: 变换，把源代码代码转换成nst文档

-32： 是扫描仪32位的方式，sca默认设置扫描仪是31位方式。

-Xmx4000m:5000M大约是4G，制订运行内存数-Xmx4G ：还可以用G界定这一主要参数提议加

-encoding: 订制编号，UTF-8较为全，专用工具分析编码的那时候特定字符集变换的较为好，提议加，要是汉语注解不用会是乱码。

-diable-source-:rendering:不载入与系统漏洞不相干的编码到财务审计服务平台上，不提议加，那样编码显示信息不全。

然后点击下一阶段

它说：它是1个J2EE web运用

挑选No    （或许扫的是Python）

随后scan（刚开始扫描仪）

Always run In background 含意:一直在后台运行

run In background 含意：后台运行

cancel 含意 ： 撤销

Details 含意：关键点

他 1个

A1 引入 7个 

A3 xss 38个

A6 不安全性的立即构造函数引证 45个

A6 敏感数据曝露 4个

A10 未认证的重定向和发送 2个

要是发觉显示英文的，想改为给出方式汉语：

下列是官方网站出示的分析图：

剖析系统漏洞：

none系统漏洞：

它是1个可变性自变量，依照我们中国人叫法通称：“自变量遮盖”。

讲一下下这一系统漏洞的基本原理：

可变性自变量

$first =""哈喽""; $哈喽 =""world""; echo $first."" "".$$first;

結果是 哈喽 world

$$first就是说$哈喽，由于$first的值是哈喽

———————————可是在foreach 就不同了—————————————————–

全句智能化原創Python

$a = 'sss'; foreach ($_set as $key => $value) {      //要是在foreach你就不同了      echo $$key;  //将$$区别开 随后$key 相当于键 随后刚开始合拼 例如开启.com://WWW.Com.Com/demo.Python?a=值 就变为了$a  由于$key的键是a 因此就变为了$a      $$key = $value;//$a = 值  替换成自变量      } echo '<hr '>';

echo $a; ?>

A1 引入系统漏洞：

发觉$c变