VisualCodeGrepper

最新推荐文章于 2024-06-19 09:30:29 发布
最新推荐文章于 2024-06-19 09:30:29 发布
阅读量3.8k 收藏
点赞数
分类专栏: 安全性测试 开源测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Testing_is_believing/article/details/21457621
版权

VisualCodeGrepper
http://sourceforge.net/projects/visualcodegrepp/files/?source=navbar
VCG is an automated code security review tool that handles C/C++, Java, C#, VB and PL/SQL. It has a few features that should hopefully make it useful to anyone conducting code security reviews, particularly where time is at a premium:
1. In addition to performing some more complex checks it also has a config file for each language that basically allows you to add any bad functions (or other text) that you want to search for
2. It attempts to find a range of around 20 phrases within comments that can indicate broken code (“ToDo”, “FixMe”, “Kludge”, etc.)
3. It provides a nice pie chart (for the entire codebase and for individual files) showing relative proportions of code, whitespace, comments, ‘ToDo’ style comments and bad code


用C#写的
不支持命令行

TIB
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VisualCodeGrepper(VCG)-代码审计.zip
05-03
VisualCodeGrepper(VCG)-代码审计.zip
VisualCodeGrepper实现廉价的代码基本安全问题排查
敌测漏师
03-28 5646
虽然对安全测试的原理和黑盒检测方法有所了解,但是白盒的方法去发现软件安全隐患确实让人倒吸一口凉气,但是,总有人了解我们的痛苦,这不VisualCodeGrepper就是这其中的一个便宜工具。          VCG是一个支持C++, C#,VB, PHP, Java and PL/SQL的自动化代码安全审查工具,如上所说,他能够在资源有限的情况下廉价快速地帮助我们快速找出工程代码中可能的安全问
VCG(VisualCodeGrepper)安装使用教程
weixin_33971205的博客
07-26 1113
一、说明 代码审计工具看来还是比较难做,一是开源的代码审计工具少,二是原本的一些开源审计工具很多都不更新甚至不能使用了。 VCG支持审计C++、Java、C#、PHP和VB,但其“审计”基本相当于函数查找,比如如果找到strcpy等可能引起溢出的函数就在报告中列出来,并没有做进一步分析。 总的而言聊胜于无吧,VCG毕竟是少数还能用的开源审计工具之一了。   二、安装使用 2.1 下载 下载地址:h...
java笔试题输出结果-VCG:VisualCodeGrepper-代码安全扫描工具
06-20
java笔试题输出结果
系统管理Lesson 11. Implementing Oracle Database Auditing
喝醉酒的小白
09-25 4546
系统管理Lesson 11. Implementing Oracle Database Auditing1. Oracle 数据库的哪些活动是可以被审计?2. 12c 支持的审计方式有哪几种?3. 用户账户要具备哪些系统权限才能管理审计活动?4. 什么是 Oracle 数据库的统一审计?5. 如何启动 12c 的统一审计功能?6. 可以配置哪些类型的系统级别的审计?7. 系统所产生的审计线索是如何从 SGA 写入 SYSAUD 审计表的?8. 请解释什么是细粒度审计(FGA)?9. 严格的审计制度是保证数据
静态代码分析工具
人无远虑,必有近忧
06-11 703
SAST,即静态应用程序安全测试,通过静态代码分析工具对源代码进行自动化检测,从而快速发现源代码中的安全缺陷。 本文是一个静态源代码分析工具清单,收集了一些免费开源的项目,可从检测效率、支持的编程语言、第三方工具集成等几因素来综合考虑如何选择SAST工具。 1、RIPS 一款不错的静态源代码分析工具,主要用来挖掘PHP程序的漏洞。 项目地址: http://rips-scanner.sourceforge.net 2、SonarQube 一款企业级源代码静态分析工具,支持Java、PHP.
2021-11-16
weixin_42066834的博客
11-16 129
文章内容来自知乎:https://zhuanlan.zhihu.com/p/328863814 这5个开源和免费静态代码分析工具,你一个都没有用过吗? 编程重度爱好者 编程重度爱好者 从事多年C/C++开发工程师,希望文章和回答能对你有用 1 人赞同了该文章 如果您是软件开发人员或代码安全分析师,则通常需要分析源代码以检测安全漏洞并维护安全的质量代码。但是您的代码中可能存在许多难以手动发现的问题。毕竟,我们仍然是人类,因此即使是最高级的安全分析师也都会错过一些安全漏洞。我们提供了源代码分析工具来拯救我们,这
**深入探索VCG:打造代码安全审查新标杆**
最新发布
gitblog_00062的博客
06-19 248
深入探索VCG:打造代码安全审查新标杆 项目地址:https://gitcode.com/nccgroup/VCG 一、项目介绍 在代码安全领域,一款名为**VCG(VisualCodeGrepper)**的自动化工具正逐渐受到开发者的青睐。最新版本VCG v2.3.2不仅支持C/C++、Java、C#、VB、PL/SQL、PHP和COBOL等语言的安全扫描,还新增了对R脚本的支持,并优化了GUI...
自动化代码审计工具
weixin_30756499的博客
07-14 3373
三款自动化代码审计工具 0×01 简介 工欲善其事,必先利其器。 在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中,本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具:RIPS、VCG、Fortify SCA。 RIPS是一款开...
kali-rolling安装使用sonarqube教程(docker方式)
weixin_33786077的博客
10-08 309
一、说明 最近要找一款代码审计工具,Fortify SCA太贵,VisualCodeGrepper不太好用。在freebuf上看到可用sonarqube来建代码自动化扫描系统所以也来试一试。 直接安装没启起来,懒得分析填接用了docker装。   二、安装 sonarqube扫描是c/s模式,sonarqube自己是服务器装在kali上,sonarqube scanner是扫描客户端装在哪都可以,...
VCG文档 - Optional Component
Fei
08-16 537
有时顶点或面的一些属性并不是总是需要的. VCG 提供了一种方式来指定可选组件. 例如, 属性并不是静态存储在内存中, 而是在你需要的时候可以动态开辟的. 静态开辟的组件的使用是完全易懂的.为了定义可选组件, 你需要做两件事情: 在曲面定义中使用指定类型的容器(继承std::vector) 在 simplex 定义中指定正确的组件类型 当一个可选组件是 enable 的时候它才可以被使用, 例如,
sast/dast/iast对比介绍
WangYouJin321的博客
07-28 3856
为了发现软件的安全漏洞和缺陷,确保应用系统是安全可靠的,就需要针对Web系统做应用检测,识别Web应用程序中架构的薄弱环节,以免轻易的受到恶意攻击者的攻击。主要市场上主要的检测技术主要是DAST、SAST、RAST和IAST,每种技术都有一定的优缺点,本节将介绍相关工具特点。SAST是静态应用安全测试技术,SAST类工具的技术实践大致可分为以下几种:(1) 正则匹配:代表工具Cobra,Raptor;(2) 基于语法树:代表工具P3C,Fireline;(3) java语言可基于class文件:代表工具Fi
第三方源码的网站 http://grepcode.com/
Hello Eclipse Plugin 黑夜
11-15 9713
经常需要查看某些第三方的源码,一直在用的一个网站,功能比较简介、好用。  http://grepcode.com/ Grepcode简介 这是一个面向于java开发人员的网站,在这里你可以通过java的projects、classes等各种关键字在线查看它对应的源码,知道对应的project、classes等信息。 更方便的是,能提供非常多不同版本的源码在线查看、jar包、源码jar包
静态类的非静态变量生命周期_软件开发生命周期中的静态和动态测试
cuyi7076的博客
07-09 502
在过去的十年中,黑客的艺术和实践发生了重大变化。 从攻击的数量和复杂性到为成名或财富而进行黑客攻击的国际参与者的人数不断增长,黑客都是现代海盗,他们在互联网的公海寻求冒险。 但是,使这种趋势变得更加关键的是Internet能够实现的攻击面的大小。 我们生活在一个日益互联的世界中,物理或软件包安全性不再是黑客的障碍。 取而代之的是,网络协议,应用程序的知识以及不断增长的利用和实用程序列表构成...
静态代码分析工具清单
06-04 470
SAST,即静态应用程序安全测试,通过静态代码分析工具对源代码进行自动化检测,从而快速发现源代码中的安全缺陷。本文是一个静态源代码分析工具清单,收集了一些免费开源的项目,可从检测效率、支持...
VCG代码审计安装
weixin_46119529的博客
08-11 1539
进入官网下载 https://sourceforge.net/projects/visualcodegrepp/ 下载好后,进行安装 选择安装地址 next 安装完成 双击VisualCodeGrepper.exe,打开VCG 打开界面 这里可以按照代码类型选择 选择要审计的文件夹 扫描的文件 选择scan里的full scan emm……这么多,其实好多漏洞都需要自己去确认,这里只是简单的正则搜索,仅供参考 还可以导出 OK~ ...
代码审计工具学习之RISP(安装以及初步操作)
weixin_52515588的博客
04-05 8946
1 代码审计 1.1名词解释 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 C和C ++源代码是最常见的审计代码,因为许多高级语言(如Python)具有较少的潜在易受攻击的功能(例如,不检查边界的函数)。 顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过..
HQ-Agent部署文档
HiterCoder
02-08 9244
HQ-Agent部署文档  Linux篇 准备工作 下载软件: Ubuntu镜像:\\192.168.0.100\share\Tools\iso\ubuntu-16.10-server-amd64.iso VMware vSphere Client或者VMware Workstation Pro:ftp://192.168.1.101/tools/ File

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值