foritfy的“小技巧”

编程

https://www.52pojie.cn/thread-1085767-1-1.html

参照这篇文章我自己试了一下foritfy的处理,但是发现了一个问题

我替换了文中的相关的两个class文件,然后在根目录下安装了一个内容为空的fortify.license文件

可以正常打开,但是我发现一旦扫描完成就会弹出以下错误:

所以我又重新逆向分析了一下原始的逻辑,给出一个新的处理方式,首先按照原文做好替换,之后:

直接用解压缩软件解压缩fortify-common-19.1.0.2241.jar得到fortify-common-19.1.0.2241文件夹

然后用idea加载这个文件夹就可以加载class文件能得到伪代码如下

 

我发现,fortify在启动和生成报告都需要检查fortify的内容以保证授权的有效性,但是启动期间的检查和生成报告的检查的两段逻辑并不完全一致

52的大佬的处理方法虽然能保证正常打开fortfiy但是不能保证能正常生成扫描报告,所以我给出一个新的方法

我先构造出了一个假的授权(文章最后给出了一个),内容完全就是瞎编的肯定不能通过启动期间的检查,如图所示:

通过反编译可以检查到这个提示来自于

对应的java代码是:

而可能触发这个异常的代码如图:

所以我把这个伪代码复制出来到Licensing.java 文件中,将红框框的代码改变一下

使用命令 编译 (我在powershell下执行的)

javac .Licensing.java -cp ../*    

可以得到如下文件:

直接用压缩文件打开并替换掉fortify-common-19.1.0.2241.jar里面的同名文件,之后就可以正常扫描了

 

这里提供一个瞎编的授权的格式:

Metadata: owner=xxxxxx

Metadata: License Description=SAID ending in 9396

Metadata: Subscription ID=zb1172a75-zb11-zb11-zb11-zb1172a75111

Metadata: Created On=2015-12-29 17:26:28.0

Metadata: License ID=zb1172a75-zb11-zb11-zb11-zb1172a75111

VSPlugins 2032-12-31

AuditWorkbench 2032-12-31

SCA-Python-Support 2032-12-31

F360-Server 2032-12-31

EclipsePlugins 2032-12-31

JDeveloperPlugins 2032-12-31

F360-CollabModule 2032-12-31

Enterprise-Reporting 2032-12-31

RulePackUpdate 2116-03-14 lid=zb1172a75-zb11-zb11-zb11-zb1172a75111

SCA-Analysis 2032-12-31

SCA-COBOL-Support 2032-12-31

111111152226111133333336111111121234567892181811l11111/1111111==

原创文章 禁止转载!

以上是 foritfy的“小技巧” 的全部内容, 来源链接: utcz.com/z/512620.html

回到顶部