fortify+DVWA靶場和動態IAST審計JAVA靶場
Fortify介紹
Fortify 其實是Micro 公司開發的一款AST(應用程式安全測試)產品,它包括: Fortify Static Code Analyzer 可以成為靜態程式碼分析器,Fortify 是 響應式動態安全測試軟體,Software Security Center 是軟體安全分析中心 和 Application 就是及時響應程式自我保護機制。
Fortify 可以提供雙態應用程式安全測試技術和執行時應用程式監控以及保護功能。為了達到實現高效安全監測的目的,Fortify 還內建了原始碼安全分析工具,可準確定位到漏洞產生的絕對路徑。
Fortify安裝過程詳解
雙擊圖中紅色框中的安裝軟體,進行安裝。
點選下一步。
繼續點選下一步。
安裝完成。
Fortify安裝設定
轉換為中文
開啟指令碼檔案,輸入相關指令,安裝要求輸入 zh_CN ,出現如圖所示的介面後,則說明轉換為中文成功。
點選安裝目錄中的auditworbench.cmd Windows命令指令碼,開啟fotify程式。
漏洞掃描DVWA靶場
Fortify掃描DVWA靶場
先開啟phpstudy搭建後臺啟動Apache,MySQL個人終端已經啟動了,就不在這裡設定了。
點選掃描。
選擇DMVA的本地目錄,並修改輸出檔案目錄 DVMA.fpr檔案
點選scan按鈕進行掃描。
等待進度條讀完,掃描結果會顯示在軟體圖形化介面中。
JSON注入
觀察左側目錄可以看到fortity已經把漏洞掃描出來了。
可以看到程式請求的是json格式的,這也就直接導致可能在傳遞時產生JSON注入。
命令注入
可以看到從$cmd請求需要shell_exec,而直接請求導致命令注入。
報告匯出
依次點選“Tools”-->Reports-->Generate BIRT Report 把實驗報告放到自己的資料夾。
生成後的報告開啟會詳細展示漏洞內容和相關缺陷。
動態IAST審計JAVA靶場
靶場安裝
根據 github 命令(如下)下載即可執行
git clone
cd SecExample
docker-compose up -d
如果想用上面的安裝,你的linux裡必須先安裝docker和git
靶場搭建
進入github下載靶場檔案。
程式碼審計工具搭建
線上審計環境
使用線上程式碼工具(洞態)進行審計。輸入相關資訊完成註冊。
洞態 IAST
本地審計環境
注意:需要Linux環境
首先在 ubuntu 中安裝 docker
- 安裝 curl,在終端輸入:
sudo apt-get update
sudo apt-get install curl
- 輸入命令:
curl -sSL https://get.daocloud.io/docker | sh
- 安裝 docker-compose
sudo apt-get install docker-compose
- 接著在 ubuntu 輸入以下命令
$ git clone https://github.com/HXSecurity/DongTai.git
$ cd DongTai
$ chmod u+x build_with_docker_compose.sh
$ sudo ./build_with_docker_compose.sh
埠輸入 81,然後開啟網站 http://127.0.0.1:81,如圖所示
查詢到 ip 為 192.168.153.148,然後我們在主機訪問,如圖 3.4 所示:
輸入賬號密碼 admin/admin 登入進入,選擇新建專案,策略選擇全選,點選儲存,開始審計。
審計專案搭建
點選’新建專案’按鈕,之後選擇’建立策略’,把漏洞型別全部勾選。
填寫專案名稱和策略後,新建專案成功。
開始審計
首先需要下載java探針才可以執行。
將上面下載的兩個檔案放到一起。
按照洞態指示輸入指令。
專案可以執行。
此時訪問本地地址。
點選測試漏洞按鈕,將會在動態網站裡查出相關結果。
返回檢視發現已經有記錄
除此之外我們還可以看到專案漏洞情況、汙點流圖和請求包
通過軟體分析可以得到相關資料,並將報告匯出到本地檔案中。
審計結束,相關資料點選文章頭部連結獲得。