用Fortify SCA分析代码漏洞

用Fortify SCA分析代码漏洞
2009-02-23 21:51 by hyddd, 13406 阅读, 4 评论, 收藏, 编辑

　　hyddd原创，转载请说明。

　　上次介绍了用FindBugs辅助分析代码漏洞，这次换了一个工具：Fortify SCA Demo 4.0.0。Fortify是一个在安全方面挺出名的公司，这里就不多说了。先介绍一下主角：Fortify SCA Demo 4.0.0，虽然现在不知道Fortify SCA的版本是多少，但可以肯定的是，Fortify SCA Demo 4.0.0是一个比较旧的Fortify SCA分析器了，并且还是Demo版的，所以无论是界面还是功能上都是比较简陋的。由于Fortify SCA不是开源的工具，这里就不提供下载了，大家可以上Fortify主页申请:>。

　　这次演示的是用Fortify SCA静态分析Java代码，和FindBugs不同的是Fortify SCA还可以静态分析C/C++，.NET和PL/SQL等代码。

一.Fortify SCA静态分析原理

　　由于我不是写这个东东的人，并且接触这个工具时间也有限，所以对它的工作原理认知比较浅，很多是通过它的说明文档得来的。

　　Fortify SCA静态分析分两个阶段：

　　1.Translation:

　　　　把各种语言的源代码转为一种统一的中间语言代码。

　　2.Analysis:

　　　　根据中间代码分析代码漏洞，并得出报告。

　　Fortify有很多个语言转换器，但核心的静态分析引擎只有一套。

二.Fortify SCA的使用

　　先看看Fortify SCA Demo 4.0.0的目录：

　　

　　这个是Fortify SCA Demo 4.0.0的目录，这里主要有两个文件：auditworkbench.cmd和sourceanalyzer.exe，auditworkbench.cmd是查看静态分析报告的工具，sourceanalyzer.exe是静态代码分析器。这里我们还看到了一个FindBugs的目录，这是因为这个版本的Fortify集成了此功能，你可以通过传参给sourceanalyzer.exe调用FindBugs（但我一般不这么做，可以直接使用FindBugs的话，为什么还要通过sourceanalyzer.exe调呢？）。

　　开始扫描静态分析，首先CMD进入Java源代码目录，然后“H:\Fortify\sourceanalyzer.exe -classpath "**/*.jar" -f test.fpr .”，在当前目录得到结果报告test.fpr。

　　用auditworkbench打开test.fpr，效果如下图：

　　

　　这里auditworkbench主要分4部分：

　　1.左上(Issues)：是警告分类，这里Fortify分了3了，严重程度由高至低分别是：hot，warning，info。下面是本次扫描的问题列表，双击即可定位问题代码。

　　2.右上：源代码。双击问题列表即可自动定位代码。

　　3.左下(analysis trace)：问题处的Trace信息，告诉你问题出现在哪里文件第几行。

　　4.右下(details)：问题的详细说明，还有示范代码。

OK，现在看看其他地方，比如：menubar(Options)-->Show View-->Other，你会看到下图：

　　

　　这里我看到了一个很像eclipse管理插件的窗口，噢，难道.....OK，让我看看再找找Fortify的目录看看，找到了这个东西：

　　

　　这里发现Fortify SCA真的是一个Eclipse插件，不过当我兴冲冲地把这个插件放进myeclipse插件库并重启后，发现这个不能识别:<，好像还是差了点东西，这个以后研究。

　　这个工具还有很多功能，但暂且先写这多。

三.Fortify SCA Demo 4.0.0与FindBugs(1.3.7.20081230)对比

　　今天试着对同一份代码进行静态扫描，发现FindBugs找到的问题种类，数量都比Fortify SCA Demo 4.0.0多很多：

　　FindBugs发现问题种类有：20多种

　　Fortify SCA Demo 4.0.0发现问题种类：5种

　　在分析发现问题后，发现了一个有趣现象，Fortify SCA Demo 4.0.0和FindBugs发现的BUG类型是完全不同，可以说是互补的！其中，FindBugs发现的问题相对比较重要！但FindBugs只是针对Java代码的静态分析器，而Fortify SCA则支持更多的语言，并且Fortify SCA对发现问题的解释相对比较清晰。

　　导致这个问题的原因可能是：Fortify SCA Demo 4.0.0这个版本比较老，并且是试用版，规则库和静态分析引擎都不全......如果是最新的Fortify SCA商业版，应该是不错，8个分析不同类型问题的静态分析引擎，庞大的规则库.......可是俺这种穷人还没机会试:<

　　对比两个Java静态分析工具，Fortify SCA Demo 4.0.0和FindBugs(1.3.7.20081230)，使用FindBugs是不错的选择，它相对比较强些，但如果可以两个都用当然效果更好:>

四.Fortify SCA的Bug类型及解释说明

　　虽然Fortify SCA对问题已经有比较清晰的说明，但是还是决定自己总结，这样会更加清晰。(相关问题解释说明稍后补上)

Hot:

//...

Warning:

[Structural]Erroneous String Compare

[Structural]System Information Leak:HTML Comment in JSP

[Semantic]System Information Leak

[Data Flow]System Information Leak

[Data Flow]Denial of Servie

[Control Flow]Null Dereference

[Control Flow]Unreleased Resource

[Control Flow]Missing Check for Null Parmater



Info:

[Structural]Poor Logging Practice：User of a System Output Stream

[Structural]Poor Error Handing：Empty Catch Block

[Structural]Poor Error Handing：Overly Broad Catch

[Structural]Poor Error Handing：Overly Broad Throws

[Structural]J2EE Bad Practices：Leftover Debug Code

[Structural]Dead Code：Unused Method

[Semantic]Insecure Randomness

[Semantic]Denial of Service

[Semantic]SQL Injection



//...



五.参考文档：

1.Fortify规则库：http://www.fortify.com/vulncat/zh_CN/vulncat/index.html

2.相关资源：http://baixar.agox.net/gratis/Fortify-2-2-5.htm