苏州华克斯公司-源代码扫描工具fortify服务商

fortify扫描漏洞解决方案

log forging漏洞

1.数据从一个不可---的数据源进入应用程序。 在这种情况下，数据经由getparameter()到后台。

2. 数据写入到应用程序或系统日志文件中。 这种情况下，源代码审计工具fortify服务商，数据通过info() 记录下来。为了便于以后的审阅、统计数据收集或调试，应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性，源代码检测工具fortify服务商，审阅日志文件可在---时手动执行，也可以自动执行，即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据，则可能会妨碍或误导日志文件的---。的情况是，攻击者可能通过向应用程序提供包括适当字符的输入，在日志文件中插入错误的条目。如果日志文件是自动处理的，那么攻击者可以破坏文件格式或注入意外的字符，从而使文件无法使用。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。通过或其他方式，源代码扫描工具fortify服务商，受到破坏的日志文件可用于掩护攻击者的---轨迹，甚至还可以牵连第三方来执行---行为。糟糕的情况是，攻击者可能向日志文件注入代码或者其他命令，利用日志处理实用程序中的漏洞。

foritfy sca主要包含的五大分析引擎：

数据流引擎：---，记录并分析程序中的数据传递过程所产生的安全问题。

语义引擎：分析程序中不安全的函数，fortify服务商，方法的使用的安全问题。

结构引擎：分析程序上下文环境，结构中的安全问题。

控制流引擎：分析程序特定时间，状态下执行操作指令的安全问题。

配置引擎：分析项目配置文件中的---息和配置缺失的安全问题。

特有的x-tier?：跨跃项目的上下层次，贯穿程序来综合分析问题。

使用fortify sca

1、扫描 java 项目

“scan java project（扫描 java 项目）”向导将转换阶段和分析阶段合并为一个简单的步骤。使用此功能可以扫描源那些代码位于单个目录中的小型 java 项目。

2、扫描其他项目

您可以使用“advanced scan（扫描）”向导转换和分析 java、javasc ript、php、asp、.net 和 sql 项目。对于源代码位于多个目录中、具有特殊转换或构建条件，或包含需要从项目中排除的文件的 java 项目，应使用“advanced scan（扫描）”向导。

苏州华克斯公司-源代码扫描工具fortify服务商由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是江苏 苏州 ,行业软件的见证者，多年来，公司贯彻执行科学管理、---发展、诚实守信的方针，满足客户需求。在华克斯---携全体员工热情欢迎---垂询洽谈，共创华克斯美好的未来。

     联系我们时请一定说明是在100招商网上看到的此信息，谢谢！
     本文链接：https://tztz192713a1.zhaoshang100.com/zhaoshang/285324611.html
     关键词：