Fortify

replace token: /home/OSUSER OSUSER OSGROUP <PASSWORD> 192.168.137.56 192.168.137.1 scancentral@esvali.com ■ 테스트 환경   -로그인 계정: OSUSER:OSGROUP  -설치 디렉토리: /home/OSUSER  -Fortify SSC: 192.168.137.1  -ScanCentral Controller: 192.168.137.56  -ScanCentral Client: 192.168.137.1  -ScanCentral Sensor #1~#3: 192.168.137.57~59 ■ ScanCentral 설치  1. ScanCentral Controller    ⑴ 준비 작업      JRE 설치 (JRE_HOME 및 JAVA_HOME 환경변수 확인)     ⑵ Fortify

토큰은 Fortify API또는 fortifyclinet 유틸리티에서 SSC의 ID/Password 대신 인증에 사용되는 일종의 문자열 이며, fortifyclient를 사용해 SSC로 부터 발급받고 명시된 기간 동안만 한정적으로 사용할 수 있다. 포티파이에서 각 기능의 인증에 사용되는 토큰의 종류 및 권한정보는 SSC 밑에 WEB-INF/internal/serviceContext.xml 파일에 명시되어 있다. 토큰은 사용자별로 권한별로 모두 다르며, user를 명시하지 않으면 공통 토큰이 사용된다. ■ 토큰 발급 받기

특정함수를 통과하는 취약점을 예외처리 한다.            

특정 함수에 대해 XSS를 유발시킨다.            

C:\Windows\ServiceProfiles\LocalService\.fortify\ssc\init.token

grep "ProgramName:" system.log                             ProgramName: default                           ProgramName: default -> webgoat – 1                           ProgramName: webgoat – 1

https://microfocuspartner.force.com/

■ docker ps –format “table {{.Names}}\t{{.Ports}}” appdefender_backend_jobs_1       8080/tcp haproxy                          0.0.0.0:1936->1936/tcp, 0.0.0.0:4321->4321/tcp, 0.0.0.0:8443-8444->8443-8444/tcp rsyslog_defender                 0.0.0.0:514->514/tcp, 0.0.0.0:1999->1999/tcp appdefender_command_channel_1    0.0.0.0:32768->8080/tcp appdefender_edge_1               0.0.0.0:32770->4321/tcp appdefender_registrator_1 consul             

▣ consul 클라우드 환경에서 서비스를 연결(Connect), 보안(Secure) 및 구성(Cofigure)하는 분산 Service Mesh, Web-UI 기능 존재 http://teddykwon.com/2017/01/18/consul-install.html http://longbe00.blogspot.com/2017/08/consul.html https://www.consul.io/ ▣ haproxy HAProxy는 기존의 하드웨어 스위치를 대체하는 소프트웨어 로드 밸런서로, 네트워크 스위치에서 제공하는 L4, L7 기능 및 로드 밸런서 기능을 제공한다. https://findstar.pe.kr/2018/07/27/install-haproxy/ https://d2.naver.com/helloworld/284659 http://www.haproxy.org/ ▣ registrator Registrator는 Gliderlabs에서 MIT 라이센스로 만든 Docker container를 자동으로 Consul, etcd, SkyDNS2에

FPR을 ZiP파일로 이름 변경 후 압축을 풀면 아래와 같은 파일들이 풀어진다. <ExternalMetadata> <src-archive> <src-xrefdata> attachments.xml audit.fvdl audit.properties audit.xml audit.fvdl.mac filtertemplate.xml metatable VERSION 이 중 중요한 파일은… ■ FVDL(Fortify Vulnerability Definition Language) 파일은 모든 취약점의 상세 정보와 분석결과가 명시되어 있으나 Critical, High 취약점 갯수 등의 취약점 요약 정보는 없다. ■ audit.xml에는 Suppressed 된 취약점의 목록이 명시되어

■ 개요   Suppressed된 취약점의 IID만 취합하여 재 빌드 시 해당 IID들의 취약점은 무시한다.     ■ 사용 방법   1. fpr_report.sh 스크립트를 사용하여 suppressed_list를 뽑아낸다. bash -c “./fpr_report.sh webgoat.fpr”     2. 스캔 시에 -filter 옵션을 주어 해당 Suppressed 목록은 분석결과에서 필터링 시킨다.   sourceanalyzer -b WebGoat5.0 -filter webgoat_suppressed_list.txt -scan -f WebGoat5.0.fpr ■ 필터파일