Fortify扫描漏洞解决方案
Log Forging漏洞
1.数据从一个不可信赖的数据源进入应用程序。 在这种情况下,数据经由getParameter()到后台。
2. 数据写入到应用程序或系统日志文件中。 这种情况下,数据通过info() 记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要时手动执行,也可以自动执行,即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据,则可能会妨碍或误导日志文件的解读。的情况是,fortify规则,攻击者可能通过向应用程序提供包括适当字符的输入,在日志文件中插入错误的条目。如果日志文件是自动处理的,那么攻击者可以破坏文件格式或注入意外的字符,源代码审计工具fortify规则,从而使文件无法使用。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。通过或其他方式,受到破坏的日志文件可用于掩护攻击者的跟踪轨迹,源代码扫描工具fortify规则,甚至还可以牵连第三方来执行恶意行为。糟糕的情况是,攻击者可能向日志文件注入代码或者其他命令,利用日志处理实用程序中的漏洞。
进行安全扫描_Fortify Sca自定义扫描规则
前言代码安全扫描是指在不执行代码的情况下对代码进行评估的过程。代码安全扫描工具能够探查大量“if——then——”的假想情况,源代码检测工具fortify规则,而不必为所有这些假想情况经过必要的计算来执行这些代码。
那么代码安全扫描工具到底应该怎么使用?以下是参考fortify sca的作者给出的使用场景:
Fortify “Project Summary(项目摘要)”面板:
“Project Summary(项目摘要)”面板提供了关于扫描的详细信息。
“Summary(摘要)”选项卡
“Certification(认证)”选项卡
“Build Information(Build 信息)”选项卡
“Analysis Information(分析信息)”选项卡
项目摘要面板
“Summary(摘要)”选项卡:
“Summary(摘要)”选项卡显示了关于本项目的信息。
“Certification(认证)”选项卡:
“Certification(认证)”选项卡显示了结果认证状态。结果认证用于检查 FPR 文件是否与 Fortify SCA 所生成的文件一致。
苏州华克斯-源代码审计工具fortify规则由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司为客户提供“Loadrunner,Fortify,源代码审计,源代码扫描”等业务,公司拥有“Loadrunner,Fortify,Webinspect”等品牌,专注于行业软件等行业。,在苏州工业园区新平街388号的名声不错。欢迎来电垂询,联系人:华克斯。