Fortify是一款商業(yè)級的源碼掃描工具，其工作示意圖如下

首先Fortify對源碼進(jìn)行分析（需要編譯），然后提取出相關(guān)信息保存到某個(gè)位置，然后加載規(guī)則進(jìn)行掃描，掃描的結(jié)果保存為 .fpr 文件，然后用戶使用 GUI 程序?qū)Y(jié)果進(jìn)行分析，排查漏洞。

環(huán)境搭建

本文的分析方式是在 Linux 上對源碼進(jìn)行編譯、掃描，然后在 Windows 平臺對掃描結(jié)果進(jìn)行分析，所以涉及 Windows 和 Linux 兩個(gè)平臺的環(huán)境搭建。

環(huán)境搭建

環(huán)境搭建比較簡單，省略。

工具使用

本節(jié)涉及代碼

https://github.com/hac425xxx/sca-workshop/tree/master/fortify-example

Fortify的工作原理，首先會需要使用Fortify對目標(biāo)源碼進(jìn)行分析提取源代碼中的信息，然后使用規(guī)則從源碼信息中查詢出匹配的代碼。

首先下載代碼然后使用 sourceanalyzer 來分析源碼

/home/HKS/sca/fortify/bin/sourceanalyzer -b fortify-example make

其中

·-b 指定這次分析的 id

展開全文

·后面是編譯代碼時(shí)使用的命令，這里是 make

分析完代碼后再次執(zhí)行 sourceanalyzer 對源碼進(jìn)行掃描

/home/HKS/sca/fortify/bin/sourceanalyzer -b fortify-example -scan -f fortify-example.fpr

其中

·-b 指定掃描的 id 和之前分析源碼時(shí)的 id 對應(yīng)

·-scan 表示這次是采用規(guī)則對源碼進(jìn)行掃描

·-f 指定掃描結(jié)果輸出路徑，掃描結(jié)果可以使用 auditworkbench.cmd 進(jìn)行可視化的分析。

生成 .fpr 結(jié)果后可以使用 auditworkbench 加載分析

system命令執(zhí)行檢測

本節(jié)涉及代碼

https://github.com/hac425xxx/sca-workshop/tree/master/fortify-example/system_rules

漏洞代碼如下

int call_system_example(){ char *user = get_user_input_str(); char *xx = user; system(xx); return 1;}

首先通過 get_user_input_str 獲取外部輸入， 然后傳入 system 執(zhí)行。

1.RulePackID 表示這個(gè)規(guī)則文件的 ID， 設(shè)置符合格式的唯一字符串即可

2.RuleDefinitions 里面是這個(gè)xml文件中的所有規(guī)則，每個(gè)規(guī)則作為RuleDefinitions的子節(jié)點(diǎn)存在，比如示例中的 DataflowSourceRule 節(jié)點(diǎn)，表示這是一個(gè) DataflowSource 規(guī)則，用于指定數(shù)據(jù)流跟蹤的 source

我們開發(fā)規(guī)則實(shí)際也只需要在 RuleDefinitions 中新增對應(yīng)的規(guī)則節(jié)點(diǎn)即可。

Fortify 也支持污點(diǎn)跟蹤功能，下面就介紹如何定義 Fortify 的污點(diǎn)跟蹤規(guī)則，首先我們需要定義 source ，DataflowSourceRule 規(guī)則用于定義污點(diǎn)源，不過這個(gè)只支持定義函數(shù)的一些屬性作為污點(diǎn)源，比如返回值、參數(shù)等，返回值是污點(diǎn)數(shù)據(jù)，規(guī)則的解釋如下：

1.首先 RuleID 用于唯一標(biāo)識一條規(guī)則

2.FunctionIdentifier 用于匹配一個(gè)函數(shù)， 其中包含一個(gè) FunctionName 子節(jié)點(diǎn)，表示通過函數(shù)名進(jìn)行匹配，這里就是匹配 get_user_input_str 函數(shù)

3.然后 OutArguments 用于定義污點(diǎn)源， return 表示該函數(shù)的返回值是污點(diǎn)數(shù)據(jù)，如果該節(jié)點(diǎn)的值為數(shù)字 n ， 則表示第 n 個(gè)參數(shù)為污點(diǎn)數(shù)據(jù)，n 從0開始計(jì)數(shù)。

定義好 source 點(diǎn)后，還需要定義 sink 點(diǎn)，DataflowSinkRule 規(guī)則用于定義 sink 點(diǎn)

這條規(guī)則的作用是設(shè)置 system 的第 0 個(gè)參數(shù)為 sink 點(diǎn)，規(guī)則解釋如下：

1.VulnCategory 是一個(gè)字符串，會在掃描結(jié)果中呈現(xiàn)

2.FunctionIdentifier 用于匹配一個(gè)函數(shù)，這里就是匹配 system 函數(shù)

3.Sink 和 InArguments 用于表示函數(shù)的第 0 個(gè)參數(shù)為 sink 點(diǎn)

規(guī)則編寫完后，保存成一個(gè) xml 文件，然后在對源碼進(jìn)行掃描時(shí)通過 -rules 指定自定義的規(guī)則文件即可

/home/hac425/sca/fortify/bin/sourceanalyzer -rules system.xml -b fortify-example -scan -f fortify-example.fpr -no-default-rules

ps: -no-default-rules 表示不使用Fortify的默認(rèn)規(guī)則，這里主要是在自己開發(fā)規(guī)則時(shí)避免干擾。

掃描的結(jié)果如下

規(guī)則作用是告知 Fortify 調(diào)用 custom_memcpy 函數(shù)時(shí)，第 1 個(gè)參數(shù)的污點(diǎn)數(shù)據(jù)會傳播到第 0 個(gè)參數(shù)，結(jié)果如下

system命令執(zhí)行檢測 # 2

除了使用 DataflowSourceRule 、DataflowSinkRule 等規(guī)則來定義污點(diǎn)跟蹤相關(guān)的屬性外，F(xiàn)ortify還支持使用 CharacterizationRule 來定義污點(diǎn)跟蹤相關(guān)的特性。

其中對應(yīng)關(guān)系如下圖所示：

根據(jù)文檔的使用示例，修修改改很快就可以使用 CharacterizationRule 來搜索出涉及 system 命令執(zhí)行的代碼，代碼路徑如下

https://github.com/hac425xxx/sca-workshop/blob/master/fortify-example/system_rules/system_CharacterizationRule.xml

介紹具體的 CharacterizationRule 規(guī)則實(shí)現(xiàn)之前，先介紹一下 StructuralRule 規(guī)則，因?yàn)?CharacterizationRule 就是通過 StructuralRule 的語法來匹配代碼中的語法結(jié)構(gòu)。

StructuralRule 官方文檔中的內(nèi)容

Fortify在編譯/分析代碼過程中會把代碼中的元素（代碼塊、類、表達(dá)式、語句等）通過樹狀結(jié)構(gòu)體組裝起來形成一顆 structural tree，然后掃描的時(shí)候使用 Structural Analyzer 來解析 StructuralRule ，最后輸出匹配。

其中 StructuralMatch 使用 StructuralRule 的語法來匹配代碼，然后在 Definition 里面可以使用一些API（比如TaintSource）和匹配到的代碼元素來標(biāo)記污點(diǎn)跟蹤相關(guān)的熟悉，比如污點(diǎn)源、Sink點(diǎn)等，這里要注意一點(diǎn)：Definition 中可以訪問到 StructuralMatch 中聲明的所有變量，不論是通過 : 還是通過 [] 聲明。

上述規(guī)則的作用就是

1.首先通過 StructuralMatch 匹配到 get_user_input_str 的函數(shù)調(diào)用對象 fc.

2.然后在 Definition ，使用 TaintSource 設(shè)置 fc 為污點(diǎn)源，污點(diǎn)標(biāo)記為 PRIVATE.

規(guī)則解釋如下：

1.首先使用 StructuralMatch 匹配 fc 為 system 的函數(shù)調(diào)用， e 為 fc 的第0個(gè)參數(shù)

2.然后在 Definition 使用 TaintSink 設(shè)置 e 為sink點(diǎn)，污點(diǎn)標(biāo)記為 PRIVATE.

這樣就表示如果 system 函數(shù)調(diào)用的第 0 個(gè)參數(shù)為污點(diǎn)數(shù)據(jù)且污點(diǎn)數(shù)據(jù)中包含 PRIVATE 標(biāo)記，就會把這段代碼爆出來。

其他的規(guī)則（函數(shù)建模，clean_data函數(shù)）也是類似這里不再介紹，最終掃描結(jié)果如下圖：

在開發(fā) Structural相關(guān)規(guī)則時(shí)可以在分析時(shí)使用 -Ddebug.dump-structural-tree 把代碼的 structural tree 打印出來，然后我們根據(jù)樹的結(jié)構(gòu)就可以比較方便的開發(fā)規(guī)則，完整命令行如下

/home/hac425/sca/fortify/bin/sourceanalyzer -no-default-rules -rules hello_array.xml -b fortify-example -scan -f fortify-example.fpr -D com.fortify.sca.MultithreadedAnalysis=false -Ddebug.dump-structural-tree 2 tree.tree

打印出來的示例如下

關(guān)于蘇州華克斯信息科技有限公司

專業(yè)的測試及安全產(chǎn)品服務(wù)提供商

Fortify | Webinspect | AppScan | SonarQube | 極狐GitLab

LoadRunner | UFT（QTP) | ALM（QC）