Cobra-White 白盒源代码审计工具-白帽子版

最新推荐文章于 2022-12-05 16:07:03 发布
最新推荐文章于 2022-12-05 16:07:03 发布
阅读量2.8k 收藏 9
点赞数 1
分类专栏: 【渗透工具】 # 其他常用工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/88625863
版权

Cobra简介

Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码中的大部分显著的安全问题和漏洞。Cobra-W是从Cobra2.0发展而来的分支,将工具重心从尽可能的发现威胁转变为提高发现漏洞的准确率以及精度。

Cobra特点

与其他代码审计相比:

  • 静态分析,环境依赖小。
  • 语义分析,对漏洞有效性判断程度更深。
  • 多种语言支持。
  • 开源python实现,更易于二次开发。

与Cobra相比:

  • 深度重写AST,大幅度减少漏洞误报率。
  • 提供更易于从代码层面定制审计思路的规则书写方式,更易于白帽子使用,易于拓展。
  • 底层api重写,支持windows、linux等多平台。
  • 多层语义解析、函数回溯,secret机制,新增多种机制应用于语义分析。

项目地址

项目地址:hhttps://github.com/Al1ex/Cobra-W

项目目录

cobra-w
├─cobra
├─docs
├─logs
├─result
├─rules
│  └─php
├─tests
   ├─ast
   │  └─test
   ├─examples
   └─vulnerabilities
  • cobra: 核心代码目录
  • docs: cobra-W文档目录
  • logs: 扫描log储存位置
  • result: 扫描结果储存位置(默认为.csv)
  • rules: 规则目录
  • tests: 测试代码目录

下载与使用

安装所需要的依赖

pip install -r requirements.txt

然后扫描测试样例查看结果

python cobra.py -t ./tests/vulnerabilities/

可以从测试文档中看到有不少的漏洞披露!

FLy_鹏程万里
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Python-Cobra眼镜蛇白盒代码安全审计系统
08-10
Cobra(眼镜蛇)是一款定位于静态代码安全漏洞分析系统。通过收集互联网常规漏洞的检测方法并输出成Cobra扫描规则,即可以自动化分析出代码中存在的漏洞并生成完整的漏洞审计报告和详细的修复方案。
AI时代下的自动化代码审计工具
最新发布
leah126的博客
06-21 758
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
静态代码审计工具Cobra/Cobra-W/find-sec-bugs
公众号shadow sock7
02-03 4430
之前童话师傅写过一篇Cobra静态代码审计工具码分析,所以先看看这个工具吧。 码在: https://github.com/WhaleShark-Team/cobra 后来还有Lo写的一个改: https://github.com/LoRexxar/Cobra-W 都试试吧。 ...
白盒代码审计工具——CodeQL安装与使用教程【Linux+Windows】
m0_54129327的博客
12-05 6630
学习CodeQL代码审计工具的总结 CodeQL的安装
java安全类码-Cobra:SourceCodeSecurityAudit(代码安全审计)
06-15
java安全类Cobra 该项目设计已无法实现当前白盒扫描要求,已不在维护,仅做研究使用,请勿在生产环境使用 Introduction(介绍) Cobra是一款代码安全审计工具,支持检测多种开发语言代码中的大部分显着的安全问题和漏洞。 Features(特点) Multi-language Supported(支持多种开发语言) 支持PHP、Java等开发语言,并支持数十种类型文件。 Multi-Vulnerabilities Supported(支持多种漏洞类型) 首批开放数万条不安全的依赖检查规则和数十条代码安全扫描规则,后续将持续开放更多扫描规则。 GUI/CLI/API Mode(命令行模式和API模式) 提供本地Web Server服务,可使用GUI可视化操作,也可支持本地API接口,方便和其它系统(发布系统、CI等)对接扩展。 Screenshot(截图) Contributors(贡献者) 项目由发起并主导,核心开发者、、、,也感谢其他,欢迎提交PR。 Links(链接)
cobra-prompt:连接眼镜蛇和提示
05-24
3. 构建Cobra-Prompt:`go build -o cobra-prompt`,这将编译代码并生成可执行文件`cobra-prompt`。 4. 运行程序:`./cobra-prompt`,此时你可以体验到Cobra-Prompt带来的便捷。 在实际应用中,你可以通过定义...
matlab中存档算法代码-cobra-toolbox:眼镜蛇工具
05-23
COBRA工具箱基于约束的重构和分析工具箱 MATLAB R2016b MATLAB R2015b MATLAB R2014b 代码 系统要求 请遵循以正确配置您的系统。 解算器安装 默认求解器是glpk (对于LP和MILP )。 您可以按照以下说明安装TOMLAB ,...
cobra:代码安全审核(Source Code Security Audit)
03-22
眼镜蛇 简介(介绍) Cobra是一种代码安全审计工具,支持检测多种开发语言代码中的大部分显着的安全问题和漏洞。 功能(特点) 多语言支持(支持多种开发语言) 支持PHP,Java等开发语言,并支持数十种类型文件。 支持的多个漏洞(支持多个漏洞类型) 首批开放数万条不安全的依赖检查规则和数十条代码安全扫描规则,随后将持续开放更多扫描规则。 GUI / CLI / API模式(命令行模式和API模式) 提供本地Web服务器服务,可使用GUI可视化操作,也可支持本地API接口,方便和其他系统(发布系统,CI等)对接扩展。 屏幕截图(截图) 贡献者(贡献者) 项目由发起并,开发者 , , , ,也感谢其他,欢迎提交PR。 链接(链接)
白盒审计工具codeql的安装(踩坑)
weixin_42282189的博客
12-30 4070
作者: Beard_Lin 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 简述 最近想学习下代码审计,但是奈何语言底子太差,还没办法捉到手搓代码的地步,只能靠一些辅助工具来协助审计。 因为是想学以下java的审计,从github上找工具时发现了codeql。 他是github发布的开白盒审计工具,可以审计多种语言,因为是开的原因其中有很多大佬们提交的扫描规则,同时也能用ql语言写出要用的规则。 安装codeql Codeql 可执行文件:https://gi.
cobra结合java_Cobra – 开的多语言代码安全审计工具
weixin_31943957的博客
02-26 558
Cobra介绍Cobra是一款代码安全审计工具,支持检测多种开发语言代码中的大部分显著的安全问题和漏洞。由于开发人员的技术水平和安全意识各不相同,导致可能开发出一些存在安全漏洞的代码。 攻击者可以通过渗透测试来找到这些漏洞,从而导致应用被攻击、服务器被入侵、数据被下载、业务受到影响等等问题。 “代码安全审计”是指通过审计发现代码中的安全隐患和漏洞,而Cobra可将这个流程自动化。Cobra...
MySQLMonitor:MySQL实时监控工具代码审计黑盒白盒审计辅助工具
02-02
404StarLink 2.0-银河 MySQLMonitor是404团队中的一环,如果对MySQLMonitor有任何疑问又或是想要找小伙伴交流,可以参考星链计划的加群方式。 MySQL监视器 MySQL实时监控工具(黑盒测试辅助工具) 更新: 2020-10-18:使用Java重构,打包好的本可点击下载 2019-04-29:修复windows系统下监控不成功的问题(其实就是语序有问题调整一下就OK)感谢的反馈 2019-03-26:新增加对MySQL8.0.X(MacOS环境下)的支持感谢的反馈 2019-03-23:修改了写错的单词修复端口非3306无法连接的情况 2019-01-25:新增对windows系统Python2.7的支持修复编码问题 2019-01-15:开第一 使用: java -jar MySQLMonitor.jar -h 127.0.0.1 -user CoolCat -pass mysqlmonitor 环境: 在以下环境中运行通过 操作系统 Java MySQL 状态 苹果系统 1.8 8.x 行 环境下运行通过理论上合理的运行如有问
cobra mysql_Cobra眼镜蛇代码审计工具安装指南 | CN-SEC 中文网
weixin_34871733的博客
01-26 377
眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出代码中存在的安全隐患或者漏洞。最近无意中发现了一款代码审计工具,自己尝试安装了一下,发现安装过程遇到了太多的问题,记录一下。原文安装指南:本人的安装环境:操作系统:CentOS 6.6 X64Python本:2.6.6 + 2.7.12说明:由于python2.6.6比较老了,有些功能不支持,所以我升级成了python2.7...
python项目代码审计_代码审计工具 Cobra 码分析(一)
weixin_39927144的博客
12-04 429
0x00 前言@0r3ak 师傅向我推荐了一款代码审计工具Cobra(wufeifei/cobra),该工具基于Python开发,可以针对多种语言的代码安全性评估。在测试的过程中,总是不得要领,有一些问题不知道怎么解决,都是又很想了解下这款项目的实现原理。在这一系列的笔记中,将会记录下对 Cobra 的使用体验,以及码级的分析。0x01 基础环境Ubuntu 16.04.3 LTSPython...
Centos7安装python3.6.5
M翠峰如簇的专栏
10-30 257
安装python3.6.5,原来的python2.7.5并存 准备环境: 登录你的linux虚拟机或者云服务器,进入命令行界面如下图: 进入这样的窗口就是远程登录成功,我这里使用的是远程连接工具xshell,可以使用别的远程连接工具,比如CRT 1、检测你的环境中是否有python,查看本 默认带的有python2.7.5,我们需要安装个python3.6.5,别的本也可以 2、安装python可能用到的依赖: [root@yzn ~]# yum install openss
cobra命令行工具
roning的博客
04-16 398
Cobra命令行库 项目地址:https://github.com/spf13/cobra.git 文档地址:https://godoc.org/github.com/spf13/cobra#Command 命令行由指令(commands)参数(Args)和标签(flags)组成 遵循的格式为 appName command arg --flag 比如 hugo server --port=1313 git clone URL --bare Commands 指令是程序的核心,程序之间交互都由Command
静态代码安全扫描工具Cobra
糖小喵
04-20 842
简介 眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出代码中存在的安全隐患或者漏洞。 GITHUB:https://github.com/WhaleShark-Team/cobra 文档:http://cobra.feei.cn/ 原理 利用函数定位及正则表达式扫描代码文件,提示可能存在的漏洞,使用python开发,拥有支持开发语言多,升级简单、自定义规则 简单的...
cobra代码审计工具
10-13
Cobra是一款基于Python的代码审计工具,它可以帮助开发人员和安全研究人员快速发现代码中的漏洞和安全问题。Cobra支持多种编程语言,包括Java、C/C++、Python等。 Cobra的主要特点包括: 1. 支持多种编程语言,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值