1.1. 前言

审计C/C++的时候,我们一般也会使用fortify先进行扫描,但是问题存在于,如果fortify的配置存在问题,那么扫描是不会有任何结果的,如下显示灰色

image-20211229203120145

所以推荐在做C/C++的代码审计的时候可以尝试一下其他的工具进行扫描如Flawfinder

1.2. 开始

安装过程很简单,文档也都有说明

pip install flawfinder
# 下面这个是给文件进行格式转换,防止flawfinder因为格式原因不能继续扫描文件异常
pip install cvt2utf
cvt2utf convert src -i c

1.3. 使用

以github开源的HAWQ为例:https://github.com/apache/hawq

使用也很简单,毕竟还是需要结合人工来看

  • 查看帮助
flawfinder -h
  • 原生格式保存为csv
flawfinder src > res.csv
  • 保存为html
flawfinder --html --context --minlevel=4 backend > output.html

image-20211229205122210

1.4. 其他

Copyright © d4m1ts 2022 all right reserved,powered by Gitbook该文章修订时间: 2021-12-30 18:19:32

results matching ""

    No results matching ""