java代码审计环境准备jdk、eclipse、tomcat、MySQL、fortify
- jdk的安装
- eclipse的安装
- eclipse结合tomcat
- MySQL的安装
- Fortify代码审计工具
- 简介
- 原理
- 支持语言
- 安装
- 运行fortify
jdk的安装
下载地址:JDK8官方
直接在左下角搜索环境变量
添加JDK到系统环境变量
编辑path变量
点击新建值为:%JAVA_HOME%\bin ,点击确定按钮
输入命令 java -version,查看是否安装成功
你也可以下载其他版本的JDK
eclipse的安装
下载地址:eclipse官方下载
下载成功后双击exe文件运行,
然后有不同的版本,这里我选择的是下面这个
选择worksspace的地址(是用来存放java程序的),选择好地址,然后直接点击launch,
不要选那个小方框,以后可能会创建多个workspace
找到上面菜单选项“Window”,选择下面的“Preferences”,然后鼠标左键点击进入设置界面。
进入设置界面之后,找到“Java”选项,然后展开,选择“Installed JRES”,可以看到右侧已有的JDK配置
需要配置大家本地的JDK版本,然后在右侧点击“Add”进行添加,然后点击“Next”下一步。
进入配置页面之后,点击“Directory”按钮选择本地jdk路径,这里我安装的jdk8,请大家根据自己的版本来选择。然后点击“Finish”按钮完成配置
eclipse结合tomcat
Tomcat下载官网
在右侧的Download,选择相应版本的Tomcat链接进行下载,
注意:tomcat的版本必须和jdk的版本相匹配
找到Binary Distributions下的Core,根据自己的系统选择对应的版本,32位的选择32-bit Windows zip(pgp,sha512) 64位的选择64-bit Windows zip(pgp,sha512),因为我的电脑系统是64位的,所以这里我们点击64-bit Windows zip(pgp,sha512)进行下载 (这里选择下载的是zip格式,因为zip格式是免安装的,下载下来,解压就可以用,需要源码的小伙伴们可以找到Source Code Distributions,选择zip
(pgp,sha512)下载源码)
下载完成之后,解压安装包,解压路径随意
打开你的Eclipse,找到你的Servers选项并点击
如果没有Servers选项,请安以下步骤操作
Window → Show View → Other
点击Servers选项中的 No servers are available. Click this link to create a new server…创建一个新的服务
在Tomcat Server 视窗中,我们点击Browse按钮,找到自己安装的Tomcat,并在JRE下拉选择框
中,选择自己安装的JRE版本(这里我的JRE版本是jre-10.0.2),再点击Finish
成功
MySQL的安装
需要的话,私信发你
就修改了以下几个部分,安装时一直next
通过菜单打开数据库客户端,进入数据库
数据库安装成功
Fortify代码审计工具
简介
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。
原理
- 首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚。
- 通过分析不同类型问题的静态分析引擎分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。
支持语言
1.asp
2.VB.Net
3.c#.Net
4.ASP
5.VS6
7.java
8.JSP
9.javascript
10.HTML
11.XML
12.C/C++
13.PHP
14.T-SQL
15.PL/SQL
16.Action script
17.Object-C (iphone-2012/5)
18.ColdFusion5.0 - 选购
19.python -选购
20.COBOL - 选购
21.SAP-ABAP -选购
安装
选择激活文件的位置
选择更新服务器,这里可以不用填写
移除之前版本选择 No
安装实例代码项目选择
安装成功
安装好之后,将下载的fortify-common-20.1.1.0007.jar包替换掉fortify安装目录下的
Core\lib目录下的同名包
将规则包rules,替换掉\Core\config\rules文件夹
运行fortify
打开fortify的工作台
如果源代码是java,选择Scan Java,源码是C#选择Scan VS,不知道的话选择Advanced Scan
选择代码文件夹(不建议将文件夹拆开,如果文件夹过大,可要求开发人员拆开,按文件夹分开扫描)
根据情况选择后,点击Scan,等待扫描
扫描完成后的界面
对结果进行分析,填写分析结论及备注信息
点击菜单栏的Options,选择审计规则,导出即可
更多推荐
java代码审计环境准备jdk、eclipse、tomcat、MySQL、fortify
发布评论