Fortify自定义规则编写教程(三):创建校验函数的数据流Cleanse规则
【摘要】 可以将我们的新规则放置到 Fortify安装目录/Core/config/customrules目录下,这样每次扫描的时候会自动加载这个新规则。
请先看如下示例代码:
该代码中使用了my_validate_func对input进行校验(示例中校验代码省略),使用Fortify扫描后发现Fortify不认识我们的校验函数,照样报错:
在Audit workbench中源码界面的my_validate_func函数处右键,选择【Write Rule for This Function...】
选择DataflowCleanseRule->General Validation Rule:
下面的如果输出参数是在参数列表中的,需要选择Argument,并指定是第几个参数(索引以0起始)
开始重新 扫描:
我们可以看到重新 扫描后,被我们验证过输入的命令注入缺陷消失了。
可以将我们的新规则放置到 Fortify安装目录/Core/config/customrules目录下,这样每次扫描的时候会自动加载这个新规则。
我们可以回头看看我们新规则的xml代码:
作者:陈辉军
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)