Fortify

■ 사전 준비사항 1. Windows Server 2012R2 이상 2. IIS 7이상 (반드시 Windows 인증 활성화 구성요소도 설치) 3. Sensor용 윈도우 계정 생성     ■ 설치   1. wieconsolesetup.exe, wieserversetup64.exe 설치   2. WebInspect 설치 (MicroFocus Fortify Monitor만 필요)   3. WebInspect Enterprise Initialize를 실행하여 DB및 IIS 셋팅   4. 윈도우 서비스 활성화     5. […]

https://licenseservice.fortify.microfocus.com/

select * from fortifyuser;

■ 구 버전 ■ 최신 버전

웹페이지: https://softwaresupport.softwaregrp.com/group/softwaresupport/case-manager   1. 로그인   2. 나의 라이선스 등록   3. 여기서 보유한 제품의 SAID를 등록한다.   4. 새로운 CASE를 열기위해 New Service Request 선택   5. Request type은 보통 Product Technical issue로 선택한다.   6. 질의에 대한 각종 정보를 아래와 같이 선택해 준다. (Configuration Item은 선택 불가)     7. 여기서 질의에 대한 제목과 상세

category:android bad practices  OR category:dynamic code evaluation  OR category:key management\: empty encryption key  OR category:password management\: empty password  OR category:privilege management  OR category:race condition  OR category:weak encryption\: insecure initialization vector  OR file:/.*angular.*/  OR file:/.*anlab.*/  OR file:/.*anySign.*/  OR file:/.*apache.*/  OR file:/.*ckeditor.*/  OR file:/.*crownix.*/  OR file:/.*debug.*/  OR file:/.*demo.*/  OR file:/.*ditor.*/  OR file:/.*eclipse.*/  OR file:/.*example.*/  OR file:/.*humuson.*/  OR

1. JDBC jar파일을 <apache-tomcat 설치 디렉토리>\lib 밑에 복사해 넣는다. (여러개도 상관 무) 2. ssc.war 파일을 수정없이 apache-tomcat의 webapps 디렉토리에 복사한다. 3. apache-tomcat 실행 후 접속 (tomcat에 17.20 ssc.war를 제외한 다른 war 이미지가 존재할 경우 실행 안됨) 4. 우측 상단에 administrators 클릭 5. token을 넣는 부분에 C:\Users\Administrator\.fortify\ssc\init.token 파일의 내용을 넣는다. 6.MySQL의 JDBC URL은 아래와 같은 형식으로

WIConfig.exe /CreateDatabase /DisableSmartUpdateOnStartup /DisableTelemetry -SqlConnString “Server=10.10.10.91;Database=db_wi; User Id=usr_wi; Password=Zxcv!234;”

포티파이는 5개의 분석 엔진이 개별적인 모듈로 존재하며 각 모듈의 이름은 아래와 같다. 1. Dataflow (데이터 흐름 분석) 2. Semantic (구문 분석) 3. Structural (데이터 구조 분석) 4. Configuration (설정파일 분석) 5. ControlFlow (제어 흐름 분석) 빌드 후 분석 시스템의 메모리가 부족하거나 특정 분석엔진에서 문제가 발생할 경우 각 분석엔진 별로 FPR 파일을 생성할 수 있는데 아래와

■ TEST Active Directory(이하 AD) 환경 1. 도메인 및 트러스트 2. 테스트 사용자 계정 3. dsquery 테스트 C:\>dsquery * cn=hasu0707,cn=users,dc=adtest,dc=esvali,dc=com “CN=hasu0707,CN=Users,DC=adtest,DC=esvali,DC=com” C:\>dsquery * cn=users,dc=adtest,dc=esvali,dc=com “CN=Users,DC=adtest,DC=esvali,DC=com” “CN=hasu0707,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=macea00,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Administrator,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Guest,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=WinRMRemoteWMIUsers__,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=krbtgt,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Domain Computers,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Domain Controllers,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Schema Admins,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Enterprise Admins,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Cert Publishers,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Domain Admins,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Domain Users,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Domain Guests,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=Group Policy Creator Owners,CN=Users,DC=adtest,DC=esvali,DC=com” “CN=RAS and IAS Servers,CN=Users,DC=adtest,DC=esvali,DC=com”

■ Java 분석 sourceanalyzer -b webgoat -clean sourceanalyzer -64 -Xmx1200M -Xms600M -Xss24M -b webgoat -logfile webgoat_sca.log -source 1.5 -cp “webgoat/WebContent/WEB-INF/lib/*.jar” webgoat/JavaSource webgoat/WebContent sourceanalyzer -b webgoat -scan -f webgoat.fpr ■ Android 분석 sourceanalyzer -b webgoat -clean sourceanalyzer -b webgoat -jdk 1.6 -cp “$SDK_DIR/platforms/android-3/android.jar:libs/**/*.jar” “src/**/*.java” “gen/**/*.java” sourceanalyzer -b webgoat -scan -f webgoat.fpr ■ touchless 분석 (Pro*C) sourceanalyzer

<Fortify Home>/Core/bin/config/fortify-sca.properties 파일에 com.fortify.sca.InputFileEncoding=utf-8

■ XML 리포트 생성방법   test.fpr → test.xml 로 변환할 경우. <Fortify 설치 디렉토리>/bin/reportgenerator -format xml -filterSet "Quick View" -source test.fpr -f test.xml   16.10 버전: (XML포맷을 더 이상 지원안하고 대신 XLS를 지원) BIRTReportGenerator -format XLS -template "Developer Workbook" -filterSet "Security Auditor View" -source test.fpr -output test.xls   ■ XML 리포트에서 취약점 갯수만 뽑아내는 방법

1. scapostinstall 에서 로케일을 ko로 변경해야 한글이 깨지지 않는다.2. 리포트 템플릿은 Auditworkbench에서 생성하고 새 이름으로 저장하면 C:\Users\Administrator\AppData\Local\Fortify\config\AWB-18.10\reports 디렉토리에 저장된다. example)reportgenerator -verbose -template skhynix_report_template.xml -format pdf -filterSet “Quick View” -source test.fpr -f test.pdf

형식) sourceanalyzer -64 -Xmx8G -Dcom.fortify.sca.RmiWorkerMaxHeap=4G -XX:-UseGCOverheadLimit -XX:MaxPermSize=256M -j 3 -logfile [로그파일]  -scan -f [FPR파일] 1) CLI 예제 및 설명  sourceanalyzer -b build_id -64 -Xmx6144M -Dcom.fortify.sca.RmiWorkerMaxHeap=3072M -XX:-UseGCOverheadLimit -XX:MaxPermSize=256M -j 6 -logfile scan.log -scan -f build_id.fpr  위 CLI 예제에 노란색으로 표시된 영역이 Parallel mode 옵션입니다. -j scan 시 사용할 CPU 코어이며, -Dcom.fortify.sca.RmiWorkerMaxHeap는 각 CPU 코어가 사용할 힙

설정 파일 경로 :  Fortify SCA 설치경로\Core\config\fortify-sca.properties 설정 변경 예제 :  소스 파일 확장자가 .biz일 경우, 아래 노란색 표시 부분처럼 변경 후 소스 재분석(예제 fpr 첨부, 참조바람) com.fortify.sca.DefaultFileTypes=java,jsp,jspx,tag,tagx,tld,sql,cfm,php,phtml,ctp,pks,pkh,pkb,xml,config,settings,properties,dll,exe,inc,asp,vbscript,js,ini,bas,cls,vbs,frm,ctl,html,htm,xsd,wsdd,xmi,py,cfml,cfc,abap,xhtml,cpx,xcfg,jsff,as,mxml,cbl,cscfg,csdef,wadcfg,appxmanifest,wsdl,plist,biz # Custom Rules## This property controls what directory is searched to pick up custom rules.  If it is set, the default# (Core/config/customrules) will not be searched #com.fortify.sca.CustomRulesDir=${com.fortify.Core}/config/customrules