E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
fortify
shiyanbar-ropbaby
(
FORTIFY
说是会对栈溢出进行保护,但是这里感觉没有体现出来)__int64__fastcallmain(__int64a1,char**a2,char**a3){signedintv3;//eaxunsigned
吾梦不尽
·
2020-08-24 06:37
实验吧 PWN ropbaby
首先查看程序的保护方式可以看出是64位程序,开启了栈不可执行保护、PIE(程序每次运行时虚拟地址都会发生变化)以及
FORTIFY
(对格式化字符串做出限制)。
rose never fade
·
2020-08-24 05:15
CTF
暴力破解登录密码(登录批量发包)
除了
Fortify
和Appscan之外,公司还有使用BurpSuit工具对项目代码进行安全测试,例如会对项目进行暴力破解登录密码(登录批量发包),而项目中确实存在该漏洞,现已修复,在这里做总结如下:1.1
weixin_30799995
·
2020-08-21 22:33
如何实现数据库连接的密码加密
在安全认证中的
Fortify
静态代码分析器的扫描中,如果密码明文放在文件中是肯定过不去的。需求解决方案:下面具体结合SSH的框架的代码实现。
yezi1305
·
2020-08-19 22:06
SSH
java
linux
4.0-编译错误解决方法
1.build/core/combo/HOST_linux-x86.mkHOST_GLOBAL_CFLAGS+=-U_
FORTIFY
_SOURCE-D_
FORTIFY
_SOURCE=02.external
knock
·
2020-08-17 13:18
android
reference
warnings
linux
64bit
token
file
Fortify
-Insecure Randomness
InsecureRandomness(不安全随机数)无厘头:本是青灯不归客却因浊酒留风尘。星光不问赶路人,岁月不负有心人。漏洞级别:高产生原因:成弱随机数的函数是random()。电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器(PRNG)近似于随机算法,始于一个能计算后续数值的种子。PRNG包括两种类型:统计学的PRNG和密码学的PRNG。统计学的PRNG可提供有用的统计资
烎烎~
·
2020-08-16 07:50
安全
addr2line的使用
报错log:---------beginningofcrash01-0108:01:17.96334663466Flibc:
FORTIFY
:write:preventedreadpastendofbuffer01
lmpt90
·
2020-08-16 06:41
Android源码分析
pip 安装psutil 报错
temp.linux-x86_64-3.6/psutilgcc-pthread-Wno-unused-result-Wsign-compare-DNDEBUG-O2-g-pipe-Wall-Wp,-D_
FORTIFY
_SOURCE
linlin9501
·
2020-08-10 05:42
python
攻防世界 time_formatter
Arch:amd64-64-littleRELRO:PartialRELROStack:CanaryfoundNX:NXenabledPIE:NoPIE(0x400000)
FORTIFY
:Enabled
Bengd0u
·
2020-08-05 18:48
解决
fortify
扫描出的Path Manipulation问题(java语言)
使用
fortify
扫描,会报一个PathManipulation的漏洞,怎么解决呢?
wypdao
·
2020-08-04 08:49
安全相关
android,编译过程遇到的错误
:0:0:error:"_
FORTIFY
_SOURCE"redefined[-Werror]:0:0:note:thisisthelocationofthepreviousdefinitioncc1plus
haoanbang
·
2020-08-03 17:20
android
fortify
——Insecure Randomness
ThisisaVulnerability.Toviewallvulnerabilities,pleaseseetheVulnerabilityCategorypage.VulnerabilitiesTableofContentsDescriptionStandardpseudo-randomnumbergeneratorscannotwithstandcryptographicattacks.In
勤奋的菜才是我
·
2020-08-03 15:14
代码管理--规范安全
kw和
Fortify
扫描中的修复ServerSocketChannel资源泄露引发的问题
近期项目在使用kw和
Fortify
工具进行代码漏洞以及安全漏洞的扫描。对于扫描出来的海量漏洞,也确定出首要优先修复资源泄露类问题。不管是kw还是
Fortify
,其实扫描源码并不能做到绝对的智能。
tongtong8383
·
2020-08-03 15:15
Fortify
漏洞之Portability Flaw: File Separator 和 Poor Error Handling: Return Inside Finally
继续对
Fortify
的漏洞进行总结,本篇主要针对PortabilityFlaw:FileSeparator和PoorErrorHandling:ReturnInsideFinally漏洞进行总结,如下:
arkqyo2595
·
2020-08-03 15:46
Appscan漏洞之跨站点请求伪造(CSRF)
公司前段时间使用了
Fortify
扫描项目代码,在修复完这些
Fortify
漏洞后,最近又启用了Appscan对项目代码进行漏洞扫描,同样也是安排了本人对这些漏洞进行修复。
arkqyo2595
·
2020-08-02 12:53
gcc降版本
如果你的ubuntu是最新的或者比较新的版本,那么在编译过程中,会出现::0:0:error:"_
FORTIFY
_SOURCE"redefined[-Werror]:0:0:note:thisisthelocationofthepreviousdefinitioncc1plus
王维尼
·
2020-07-30 23:34
如何实现数据库连接的密码加密
在安全认证中的
Fortify
静态代码分析器的扫描中,如果密码明文放在文件中是肯定过不去的。需求解决方案:下面具体结合SSH的框架的代码实现。
iteye_17519
·
2020-07-29 19:05
PC-lint使用说明
C/C++的静态检查工具主要有PC-lint、Coverity、
Fortify
等,后面两种都偏重量级,Coverity还
ZCShouEXP
·
2020-07-15 19:29
PC-lint
静态代码分析工具列表--常用静态代码分析工具介绍
本人也使用过很多测试软件,最为了解
Fortify
、Coverity、ProteCode、Hex-Rays等,大家可以一起
mazhitong1227
·
2020-07-14 15:25
代码安全使用资料
Fortify
漏洞之XML External Entity Injection(XML实体注入)
继续对
Fortify
的漏洞进行总结,本篇主要针对XMLExternalEntityInjection(XML实体注入)的漏洞进行总结,如下:1.1、产生原因:XMLExternalEntities攻击可利用能够在处理时动态构建文档的
arkqyo2595
·
2020-07-11 02:05
正则表达式的灾难性回溯
最近项目上在做
Fortify
安全漏洞扫描。其中有一项漏洞扫描规则为:DenialofService:RegularExpression。是由于正则表达式带来的DOS攻击。
tongtong8383
·
2020-07-09 13:42
记录一次header manipulation的解决
如题,最近在进行系统安全测试的时候,文件下载出了点问题,
fortify
扫描出了headermanipulation漏洞。
YSF2017_3
·
2020-07-07 01:16
日常工作
fortify
_2
FortifySourceCodeAnalysis(SCA)软件原代码安全测试和分析工具
Fortify
®SCA是全球已经被证实和广泛使用的原代码安全分析方案,它高级的特性使得软件安全的专业人员在尽量少的时间里评审更多的代码和更早区分出安全问题的优先级别
xiaoliang_1991
·
2020-07-06 08:24
fortify
fortifySCA代码检测工具博客分类:软件管理ASP.netVBVB.NET配置管理AIXFortifySourceCodeAnalysisSuite是目前在全球使用最为广泛的软件源代码安全扫描,分析和软件安全风险管理软件。该软件多次荣获全球著名的软件安全大奖,包括InforWord,Jolt,SCMagazine….目前众多世界级的软件开发企业都在使用该软件方案在他们的开发团队中加速查找软件
xiaoliang_1991
·
2020-07-06 08:24
常见codeDEX问题及处理方案
Fortify
工具介绍
Fortify
静态代码分析器(SCA)通过以更少的工作量,更短的时间识别漏洞并保持代码质量,在帮助创建安全软件方面发挥着重要作用。
蓝关故人
·
2020-07-06 02:22
Java
工具
还是环境问题,关于安装psutil
linux-gnu-gcc-pthread-DNDEBUG-g-fwrapv-O2-Wall-g-fstack-protector-strong-Wformat-Werror=format-security-Wdate-time-D_
FORTIFY
_SOURCE
weixin_30326515
·
2020-07-05 20:27
pwn(究极入门)
这个应该就是最简单的题目了吧惯例,checksec,这里有四种保护机制,有大佬的链接,这个要弄很清楚,尤其是PIE,以后慢慢来吧https://www.jianshu.com/p/8a9ef7205632没有PIE和
FORTIFY
chan3301
·
2020-07-05 12:31
pwn
pwn
入门
【源代码扫描工具】 -
fortify
SCA原理简介
1-FortifySCA(FortifySourceCodeAnalysis)是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识
una2017
·
2020-06-30 13:58
安全测试
【源代码扫描工具】-
fortify
SCA使用
1-FortifySCA静态分析原理1)Translation-把各种语言的源代码转为一种统一的中间语言代码。即通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(NormalSyntaxTree)将其源代码之间的调用关系,执行环境,上下文等分析清楚。首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种
una2017
·
2020-06-30 13:58
安全测试
二进制漏洞挖掘之栈溢出-开启
FORTIFY
二进制漏洞-栈溢出github地址:https://github.com/ylcangel/exploits/tree/master/stack_overflow你可以用于学习,但不能用于商用(如出书、以盈利为目的的课程、文章等),转载需标明出处。测试平台系统:CentOSrelease6.10(Final)、32位内核版本:Linux2.6.32-754.10.1.el6.i686i686i38
sp00f
·
2020-06-30 08:41
漏洞挖掘
Fortify
SCA C#.NET 扫描方法(Visual Studio插件)
环境准备安装VisualStudio安装FortifySCA,并根据版本选择安装插件扫描代码方法通过VisualStudio对待扫描项目解决方案进行编译和转换分析sourceanalyzer-bsec_scan-64-Xmx2048M-Xms2048M-Xss24M"D:\ProgramFiles(x86)\MicrosoftVisualStudio11.0\Common7\IDE\devenv.
xreztento
·
2020-06-30 03:34
软件测试
.Net
安全
测试工具
fortify
扫描工具
fortify
扫描工具
fortify
扫描工具有提供UI客户端用于扫描操作,但是性能很差。
xigema521
·
2020-06-30 02:13
FORTIFY
_SOURCE详解
FORTIFY
_SOURCE工作原理检查的函数:memcpy,mempcpy,memmove,memset,strcpy,stpcpy,strncpy,strcat,strncat,sprintf,vsprintf
淡泊的猪
·
2020-06-29 18:45
安全
关于
Fortify
中的漏洞以及修复方案
AccessControl:DataBase的漏洞出现原因如果在程序中简单的使用findById(Stringid)这个方法,攻击者就有可能使用脚本进行攻击,使其该表中的所有用户信息。比如for(inti=0;ialert("1");或者name是则返回给用户的页面会出现一个提示框或者一个图片。用户无法正常使用网页。解决方案根据原因分析,其主要解决方案如下:对输入源进行校验和过滤对输出源进行校验和
懂得越多,知道的越少
·
2020-06-29 14:47
技术分享
Fortify
扫描 -- 软件安全错误的分类
软件安全错误分类InputValidationandRepresentation:输入验证和表示APIAbuse:API滥用SecurityFeatures:安全功能TimeandState:时间和国家Errors:错误CodeQuality:代码质量Encapsulation:封装1InputValidationandRepresentation(输入验证和表示)输入验证和表示问题是由元字符,备
weixin_34289454
·
2020-06-28 16:16
Fortify
代码扫描解决方案
Fortify
扫描漏洞解决方案:LogForging漏洞:1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2.数据写入到应用程序或系统日志文件中。
weixin_34072159
·
2020-06-28 10:41
fortify
扫面项目会出现的问题
近期,公司用
fortify
扫描项目,出现了很多的安全性问题,由于之前也没有接触过,网上的资料又比较少,一时间很是棘手,今天算是全部弄完了,顺便总结一下,也让其他人借鉴一下,少走些弯路.1UnreleasedResource
weixin_30810583
·
2020-06-28 01:39
Fortify
漏洞修复总结
1.代码注入1.1命令注入命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,导致程序执行恶意命令的一种攻击方式。问题代码:$dir=$_POST['dir']exec("cmd.exe/cdir"+$dir);修复方案:(1)程序对非受信的用户输入数据进行净化,删除不安全的字符。(2)限定输入类型,创建一份安全字符串列表,限制用
weixin_30677475
·
2020-06-27 23:30
fortify
代码扫描问题结果分析
最近项目的代码使用
fortify
工具扫描了一下,发现了项目中存在的一些问题,在以后代码编写的过程中要注意,避免出现类似的错误。以下为本次代码分析工具
FORTIFY
对代码的分析结果。
bkhech
·
2020-06-27 02:46
javaSE
浅谈PHP自动化代码审计技术
目前市面上有不少PHP的自动化审计工具,开源的有RIPS、Pixy,商业版本的有
Fortify
。RIPS现在只有第一版,由于不支持PHP面向对象分析,所以现在来看效果不是太理想。
隐形人真忙
·
2020-06-27 02:24
web渗透测试
php安全
安全编程
Fortify
17.10进行源代码安全扫描的方法
Fortify
是一款功能强大的源代码安全审计工具,可以进行静态代码扫描来发现源代码中的安全问题。本文介绍一下如何使用
Fortify
17.10进行源代码扫描。
tyu1853
·
2020-06-26 21:44
安全漏扫工具
HP
Fortify
SCA安全检测工具初知
产品简介SCA是FortifySSC(SoftwareSecurityCenter)的分析器之一。SCA使用于开发阶段,可分析应用程式的程式码是否存有安全漏洞。通过程式码安全分析器找出应用程式可能会执行的所有路径,SCA从程式码中指出安全漏洞。它可以在有效的时间内分析大量的程式码,并可以让开发人员花费更少的时间与精力来了解和解决问题,让修复问题变得容易!alt产品特色拥有业界最完整的程式码分析器F
shanshan1yi
·
2020-06-26 08:21
软件测试
部分
Fortify
代码扫描高风险解决方案
部分
Fortify
代码扫描高风险解决方案一、Category:AccessControl:Database问题描述:Databaseaccesscontrol错误在以下情况下发生:1.数据从一个不可信赖的数据源进入程序
人生路且修且行
·
2020-06-25 19:13
工作猎及---Java
关于
Fortify
代码安全扫描常见问题
#OftenMisused:FileUpload问题说明:jsp中type=file的输入框需要进行文件安全性校验解决方案:jsp页面中没有很好的检验方式,所以检验在后台校验,采用文件后缀名+文件头信息来判断文件类型。文件头信息验证可参考:http://blog.csdn.net/honwellhsueh/article/details/12913591#UnreleasedResource:So
Lance,yl
·
2020-06-25 06:33
javaWeb应用安全问题
用
Fortify
SCA分析代码漏洞1
Fortify
是一个在安全方面挺出名的公司,这里就不多说了。
muyunyu1
·
2020-06-24 16:06
Fortify
SCA
Fortify
SCA报告模板汇总
“
Fortify
是什么?”FortifySoftware是世界上第一个提出软件安全新理念的公司,并于2004年推出业界第一款产品。FortifySCA是一个静态的、白盒的软件源代码安全测试工具。
mazhitong1227
·
2020-06-24 13:45
代码测试
使用pip安装docker-compose报错问题
使用PIP安装docker-compose报如下错误:gcc-pthread-fno-strict-aliasing-O2-g-pipe-Wall-Wp,-D_
FORTIFY
_SOURCE=2-fexceptions-fstack-protector-strong
没有水的鱼儿
·
2020-06-24 12:36
Linux
Fortify
代码扫描:Privacy Violation:Heap Inspection漏洞解决方案
该漏洞引发情况:将敏感数据存储在String对象中使系统无法从内存中可靠地清除数据。如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。通常而言,String是所用的存储敏感数据,然而,由于String对象不可改变,因此用户只能使用JVM垃圾收集器来从内存中清除String的值。除非JVM内存不足,否则系统不要求运行垃圾收集器,因此垃圾收集器何
枫雨血痕
·
2020-06-24 11:04
代码扫描
Fortify
自定义规则笔记(二)
如下是
fortify
自定义规则向导中的规则选项:1)AccessControl:DatabaseValidationRule定义验证对数据库中所存储的信息的访问权限的函数(授权函数)。
liweibin812
·
2020-06-24 07:22
静态分析
Fortify
常见漏洞解决方案
阅读文本大概需要3分钟。LogForging漏洞:1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2.数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要时手动执行,也可以自动执行,即
huangjinjin520
·
2020-06-23 15:59
上一页
1
2
3
4
5
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他