Fortify

■ 개요 SCA 모바일 빌드 세션(MBS)을 사용하면 개발자 PC등의 컴퓨터에서 프로젝트를 빌드하고 더 나은 하드웨어를 갖춘 다른 컴퓨터에서 프로젝트를 스캔할 수 있다. MBS를 사용하면 원본 컴퓨터에서 변환을 수행한 다음 빌드 세션을 더 잘 갖추어진 컴퓨터로 이동하여 스캔을 수행할 수 있다. 개발자는 자신의 컴퓨터에서 빌드을 실행하고 하나의 강력한 컴퓨터만 사용하여 대규모 스캔을 실행할 수 있다. ■ […]

vi ~/.fortify/ssc/conf/app.properties     # Lucene index location on filesystem searchIndex.location=/root/.fortify   # Minimal value for password strength score acceptable for saving new password password.strength.min.score=0

■ 사전 준비사항 1. Windows Server 2012R2 이상 2. IIS 7이상 (반드시 Windows 인증 활성화 구성요소도 설치) 3. Sensor용 윈도우 계정 생성     ■ 설치   1. wieconsolesetup.exe, wieserversetup64.exe 설치   2. WebInspect 설치 (MicroFocus Fortify Monitor만 필요)   3. WebInspect Enterprise Initialize를 실행하여 DB및 IIS 셋팅   4. 윈도우 서비스 활성화     5.

https://licenseservice.fortify.microfocus.com/

select * from fortifyuser;

■ 구 버전 ■ 최신 버전

웹페이지: https://softwaresupport.softwaregrp.com/group/softwaresupport/case-manager   1. 로그인   2. 나의 라이선스 등록   3. 여기서 보유한 제품의 SAID를 등록한다.   4. 새로운 CASE를 열기위해 New Service Request 선택   5. Request type은 보통 Product Technical issue로 선택한다.   6. 질의에 대한 각종 정보를 아래와 같이 선택해 준다. (Configuration Item은 선택 불가)     7. 여기서 질의에 대한 제목과 상세

category:android bad practices  OR category:dynamic code evaluation  OR category:key management\: empty encryption key  OR category:password management\: empty password  OR category:privilege management  OR category:race condition  OR category:weak encryption\: insecure initialization vector  OR file:/.*angular.*/  OR file:/.*anlab.*/  OR file:/.*anySign.*/  OR file:/.*apache.*/  OR file:/.*ckeditor.*/  OR file:/.*crownix.*/  OR file:/.*debug.*/  OR file:/.*demo.*/  OR file:/.*ditor.*/  OR file:/.*eclipse.*/  OR file:/.*example.*/  OR file:/.*humuson.*/  OR

1. JDBC jar파일을 <apache-tomcat 설치 디렉토리>\lib 밑에 복사해 넣는다. (여러개도 상관 무) 2. ssc.war 파일을 수정없이 apache-tomcat의 webapps 디렉토리에 복사한다. 3. apache-tomcat 실행 후 접속 (tomcat에 17.20 ssc.war를 제외한 다른 war 이미지가 존재할 경우 실행 안됨) 4. 우측 상단에 administrators 클릭 5. token을 넣는 부분에 C:\Users\Administrator\.fortify\ssc\init.token 파일의 내용을 넣는다. 6.MySQL의 JDBC URL은 아래와 같은 형식으로

WIConfig.exe /CreateDatabase /DisableSmartUpdateOnStartup /DisableTelemetry -SqlConnString “Server=10.10.10.91;Database=db_wi; User Id=usr_wi; Password=Zxcv!234;”

포티파이는 5개의 분석 엔진이 개별적인 모듈로 존재하며 각 모듈의 이름은 아래와 같다. 1. Dataflow (데이터 흐름 분석) 2. Semantic (구문 분석) 3. Structural (데이터 구조 분석) 4. Configuration (설정파일 분석) 5. ControlFlow (제어 흐름 분석) 빌드 후 분석 시스템의 메모리가 부족하거나 특정 분석엔진에서 문제가 발생할 경우 각 분석엔진 별로 FPR 파일을 생성할 수 있는데 아래와

■ TEST Active Directory(이하 AD) 환경 1. 도메인 및 트러스트 2. 테스트 사용자 계정 3. dsquery 테스트 C:\>dsquery * cn=hasu0707,cn=users,dc=adtest,dc=esvali,dc=com “CN=hasu0707,CN=Users,DC=adtest,DC=esvali,DC=com” C:\>dsquery * cn=users,dc=adtest,dc=esvali,dc=com “CN=Users,DC=adtest,DC=esvali,DC=com” “CN=hasu0707,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=macea00,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Administrator,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Guest,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=WinRMRemoteWMIUsers__,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=krbtgt,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Domain Computers,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Domain Controllers,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Schema Admins,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Enterprise Admins,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Cert Publishers,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Domain Admins,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Domain Users,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Domain Guests,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Group Policy Creator Owners,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=RAS and IAS Servers,CN=Users,DC=adtest,DC=esvali,DC=com”

■ Java 분석 sourceanalyzer -b webgoat -clean sourceanalyzer -64 -Xmx1200M -Xms600M -Xss24M -b webgoat -logfile webgoat_sca.log -source 1.5 -cp “webgoat/WebContent/WEB-INF/lib/*.jar” webgoat/JavaSource webgoat/WebContent sourceanalyzer -b webgoat -scan -f webgoat.fpr ■ Android 분석 sourceanalyzer -b webgoat -clean sourceanalyzer -b webgoat -jdk 1.6 -cp “$SDK_DIR/platforms/android-3/android.jar:libs/**/*.jar” “src/**/*.java” “gen/**/*.java” sourceanalyzer -b webgoat -scan -f webgoat.fpr ■ touchless 분석 (Pro*C) sourceanalyzer

<Fortify Home>/Core/bin/config/fortify-sca.properties 파일에 com.fortify.sca.InputFileEncoding=utf-8