gv7.me
fortify规则库解密之旅
前段时间在学习fortify的规则编写,想充分利用其污点回溯功能来扫描出当下比较新的漏洞,比如fastjson反序列化漏洞。网上有比较好的资料是《fortify安全代码规则编写指南》,但是很缺例子。于是想参考下官方的规则库,但是是加密的,万般无奈只能踏上解密之旅。 0x01 解密思路猜测fortify会和AWVS一样,会将规则库加载到内存当中进行解密,然后再使用其进行代码扫描。基于这个想法,它必然