foritfy的“小技巧”
https://www.52pojie.cn/thread-1085767-1-1.html
参照这篇文章我自己试了一下foritfy的处理,但是发现了一个问题
我替换了文中的相关的两个class文件,然后在根目录下安装了一个内容为空的fortify.license文件
可以正常打开,但是我发现一旦扫描完成就会弹出以下错误:
所以我又重新逆向分析了一下原始的逻辑,给出一个新的处理方式,首先按照原文做好替换,之后:
直接用解压缩软件解压缩fortify-common-19.1.0.2241.jar得到fortify-common-19.1.0.2241文件夹
然后用idea加载这个文件夹就可以加载class文件能得到伪代码如下
我发现,fortify在启动和生成报告都需要检查fortify的内容以保证授权的有效性,但是启动期间的检查和生成报告的检查的两段逻辑并不完全一致
52的大佬的处理方法虽然能保证正常打开fortfiy但是不能保证能正常生成扫描报告,所以我给出一个新的方法
我先构造出了一个假的授权(文章最后给出了一个),内容完全就是瞎编的肯定不能通过启动期间的检查,如图所示:
通过反编译可以检查到这个提示来自于
对应的java代码是:
而可能触发这个异常的代码如图:
所以我把这个伪代码复制出来到Licensing.java 文件中,将红框框的代码改变一下
使用命令 编译 (我在powershell下执行的)
javac .Licensing.java -cp ../*
可以得到如下文件:
直接用压缩文件打开并替换掉fortify-common-19.1.0.2241.jar里面的同名文件,之后就可以正常扫描了
这里提供一个瞎编的授权的格式:
Metadata: owner=xxxxxxMetadata: License Description=SAID ending in 9396
Metadata: Subscription ID=zb1172a75-zb11-zb11-zb11-zb1172a75111
Metadata: Created On=2015-12-29 17:26:28.0
Metadata: License ID=zb1172a75-zb11-zb11-zb11-zb1172a75111
VSPlugins 2032-12-31
AuditWorkbench 2032-12-31
SCA-Python-Support 2032-12-31
F360-Server 2032-12-31
EclipsePlugins 2032-12-31
JDeveloperPlugins 2032-12-31
F360-CollabModule 2032-12-31
Enterprise-Reporting 2032-12-31
RulePackUpdate 2116-03-14 lid=zb1172a75-zb11-zb11-zb11-zb1172a75111
SCA-Analysis 2032-12-31
SCA-COBOL-Support 2032-12-31
111111152226111133333336111111121234567892181811l11111/1111111==
原创文章 禁止转载!
以上是 foritfy的“小技巧” 的全部内容, 来源链接: utcz.com/z/512620.html