mosec-maven-plugin检测maven项目的第三方库漏洞

最新推荐文章于 2024-03-18 07:15:00 发布
最新推荐文章于 2024-03-18 07:15:00 发布
阅读量859 收藏
点赞数
分类专栏: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/110128852
版权
安全 同时被 2 个专栏收录
264 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

settings.xml里:

<!-- 添加pluginGroup可简化命令行参数 -->
<pluginGroups>
    <pluginGroup>com.immomo.momosec</pluginGroup>
</pluginGroups>

<profiles>
    <profile>
      <id>momo-plugin</id>
      <pluginRepositories>
        <pluginRepository>
            <id>gh</id>
            <url>https://raw.githubusercontent.com/momosecurity/mosec-maven-plugin/master/mvn-repo/</url>
        </pluginRepository>
      </pluginRepositories>
    </profile>
</profiles>

<activeProfiles>
    <activeProfile>momo-plugin</activeProfile>
</activeProfiles>

或者
项目里的pom.xml里:

    <!--   陌陌的maven插件:https://github.com/momosecurity/mosec-maven-plugin  -->
    <pluginRepositories>
        <pluginRepository>
            <id>gh</id>
            <url>https://raw.githubusercontent.com/momosecurity/mosec-maven-plugin/master/mvn-repo/</url>
        </pluginRepository>
    </pluginRepositories>

然后开启后端检测服务:

~/repos/mosec-x-plugin-backend$ python3 website.py

同时为了使用momo这个maven插件的后端检测服务,需要在项目里加上这个:

                <!-- 参考:https://github.com/momosecurity/mosec-maven-plugin -->
                <plugin>
                    <groupId>com.immomo.momosec</groupId>
                    <artifactId>mosec-maven-plugin</artifactId>
                    <version>1.0.6</version>
                    <executions>
                        <execution>
                            <id>test</id>
                            <goals>
                                <goal>test</goal>  <!-- test过程执行 -->
                            </goals>
                        </execution>
                    </executions>
                    <configuration>
                        <endpoint>http://192.168.85.129:9000/api/plugin</endpoint>
                        <severityLevel>High</severityLevel>
                        <onlyProvenance>true</onlyProvenance>
                        <failOnVuln>true</failOnVuln>
                    </configuration>
                </plugin>

最后在项目运行:

mvn com.immomo.momosec:mosec-maven-plugin:1.0.6:test -DonlyProvenance=true

意思是在项目编译的时候自动检测其依赖
在这里插入图片描述
抓了一下包,大概是这样:
在这里插入图片描述

我们将fastjson的版本改成1.2.4,然后抓抓包看能不能检测出来:
在这里插入图片描述

终端里也报错了,不允许编译成功:
在这里插入图片描述

再测一下java-sec-code的效果,我在这个项目里加了这个:

        <dependency>
            <groupId>com.thoughtworks.xstream</groupId>
            <artifactId>xstream</artifactId>
            <version>1.4.13</version>
        </dependency>

最近有爆出xstream<= 1.4.13的xml反序列化RCE,但是结果这个工具只给我检测出了json反序列化的两个:
在这里插入图片描述
所以去看看它的接口实现咋写的。

发现应该是去查sqlite数据库,而这个数据库只是用来查的,如果要加规则估计要自己手动更新这个数据库了:
在这里插入图片描述

参考:

  • https://github.com/momosecurity/mosec-x-plugin-backend
  • https://github.com/momosecurity/mosec-maven-plugin

又找到这个工具:
https://github.com/jeremylong/DependencyCheck

caiqiiqi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mosec-maven-plugin:用于检测maven项目的第三方依赖组件是否存在安全漏洞
02-05
莫斯蒙面插件 用于检测maven项目的第三方依赖组件是否存在安全漏洞。 该项目是基于的二次开发。 关于我们 网址: : 微信: 版本要求 Maven> = 3.1 安装 向pom.xml中添加plugin仓库(项目级安装) <!-- pom.xml --> < pluginRepositories> < pluginRepository> < id>gh</ id> < url>https://raw.githubusercontent.com/momosecurity/mosec-maven-plugin/master/mvn-repo/</ u
一个pom文件中出现了两个相同的依赖_Maven中通过parent项目pom维护第三方依赖...
weixin_34636056的博客
01-12 1026
Maven的核心就是pom.xml。如果要引入一个第三方依赖,在pom文件中加上就可以依赖相应的jar包。为了使不同的子项目中的相同依赖的版本保持一致,一般在parent项目pom文件中维护相关依赖。场景一多个子项目依赖同一个jar包如果分别在各个子项目pom文件中引入其依赖,那么当依赖版本发生变化时,需要在每个子项目中分别修改版本号,有可能造成遗漏和错误。此时就可以在parent项目的po...
devops===》dependency-check-maven项目漏洞检查
Elaina_fang✨✨✨的博客
12-24 1395
一、OWASP dependency-check-maven插件 介绍:Dependency-Check是OWASP(Open Web Application Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。而且该工具还是OWASP Top 10的解决方案的一部分。 Dependen
SpringBoot项目,升级版本,安全性高吗?可能会遇到哪些问题?
宋冠巡的博客
03-18 969
在实际升级过程中可能会遇到以下与安全性相关的问题: 兼容性问题、API变更、依赖安全、功能迁移等。 为了避免上述问题,建议在升级前执行以下操作: 备份现有项目、阅读发行说明、检查依赖、测试验证、启用诊断模式。
Maven基础-pom.xml中配置打包的入口程序和第三方依赖
northcastle的博客
12-03 4805
1.说明 本文的打包操作适用于 普通的java项目。 本文介绍的 maven 的打包方式是把java项目的第三方依赖包与主程序独立出来,即目标jar包与依赖包目录同级。 2.具体的操作 2.1 项目结构介绍 一个标准的maven项目: 目录结构完全符合maven规范 helloworld-maven-java | -- src | -- main | -- java | -- com.northcastle | -- App.java :
eclipse maven plugin 插件 安装 和 配置
10-02 6198
如下文章本人试了一下,确实可行,转载过来方便以后查阅,原文地址如下: http://www.blogjava.net/fancydeepin/archive/2012/07/13/eclipse_maven3_plugin.html 环境准备: eclipse(Helios) 3.6 maven 3.0.4 maven3 安装:     安装
代码依赖漏洞检查maven插件–dependency-check-maven。通过这个插件可以扫描出项目是否依赖已经存在的安全漏洞
grass2114的专栏
01-28 1753
漏洞检查maven插件–dependency-check-maven
dependency-check-maven安全漏洞扫描工具介绍
热门推荐
太空眼睛的专栏
05-03 1万+
目录dependency-check-maven安全漏洞扫描工具介绍dependency-check-maven插件重点参数解析运行命令检查单个maven工程安全漏洞检查多个maven子工程汇总一个报告扫描报告示例 dependency-check-maven安全漏洞扫描工具介绍 dependency-check官网下载地址: https://owasp.org/www-project-dependency-check 这个工具支持多种方式,本文主要介绍使用maven插件的使用方式 dependency-c
springboot maven项目漏洞排查修复过程记录(个人笔记)
wangjw.bug
04-10 1903
项目交付后往往会遇到第三方检测机构或者公司内部在交付之前进行的系统安全漏洞检测,本文章记录一次sprinboot maven项目漏洞排查修复过程。
Spring Cloud 地址硬编码问题解决(第三天)
qq_34758475的博客
07-02 663
一、服务发现原理深入 服务发现组件后的架构图,如图所示。 1.1服务提供者、服务消费者、服务发现组件这三者之间的关系大致如下: 各个微服务在启动时,将自己的网络地址等信息注册到服务发现组件中,服务发现组件会存储这些信息; 服务消费者可从服务发现组件查询服务提供者的网络地址,并使用该地址调用服务提供者的接口; 各个微服务与服务发现组件使用一定机制(例如心跳)通信。服务发现组件如长时间无法与某微服务实例通信,就会自动注销(即:删除)该实例; 当微服务网络地址发生变更.
dependency-lock-maven-plugin:确保不会意外更改Maven依赖关系的Maven插件
02-04
依赖锁行家插件 确保不会意外更改Maven依赖关系的Maven插件。 锁定 mvn se.vandmo:dependency-lock-maven-plugin:lock将创建一个dependencies-lock.json文件。 然后,您应该将该文件提交给您选择的源控件。 如果某些依赖项是同一多模块项目的一部分,则您可能希望这些依赖项与锁定了这些依赖项的工件的版本相同。 您可以通过编辑dependencies-lock.json并将"version" : "1.2.3"更改为"version": { "use-mine": true } 。 下次运行锁定目标时,将保留该更改。 证实 p
mosec-gradle-plugin:用于检测gradle项目的第三方依赖组件是否存在安全漏洞
02-05
MOSEC-GRADLE-PLUGIN 用于检测gradle项目的第三方依赖组件是否存在安全漏洞。 该项目灵感来自 。 关于我们 网址: : 微信: 版本要求 Gradle> = 3.0 安装 向顶层build.gradle中增加如下配置 // file: build.gradle buildscript { repositories { maven { url " https://raw.github.com/momosecurity/mosec-gradle-plugin/master/mvn-repo/ " } } dependencies
AWVS漏洞扫描
07-20
web应用及系统扫描工具
snyk-maven-plugin:一个Maven插件,可以测试pom.xml依赖项中的漏洞
02-04
Snyk可帮助您临时地或作为CI(构建)系统的一部分,查找,修复和监视Node.js npm,Ruby和Java依赖项中的已知漏洞。 Snyk Maven插件测试并监视您的Maven依赖项。 安装 如果您尚未这样做,,注册并获取您的API令牌。 它会显示在您的。 在您的pom.xml文件中,添加Snyk Maven插件: <build> <plugins> <plugin> <groupId>io.snyk</groupId> <artifactId>snyk-maven-plugin</artifactId>
mosec-node-plugin:用于检测节点项目的第三方依赖组件是否存在安全漏洞
02-05
MOSEC-NODE-PLUGIN用于检测节点项目的第三方依赖组件是否存在安全漏洞。该项目是基于的二次开发。关于我们网址: : 微信:版本要求npm> = 5.2.0使用首先运行无需安装即可使用> cd your_node_project/> npx github:...
mosec-pip-plugin:用于检测python项目的第三方依赖组件是否存在安全漏洞
02-05
MOSEC-PIP-插件用于检测python项目的第三方依赖组件是否存在安全漏洞。该项目是基于的二次开发。关于我们网址: : 微信:版本要求Python 3.x安装pip install git+...
mosec-composer-plugin:用于检测composer项目的第三方依赖组件是否存在安全漏洞
02-05
用于检测composer项目的第三方依赖组件是否存在安全漏洞。 关于我们 网址: : 微信: 版本要求 作曲家> = 1.7.0 安装 整体安装 > composer config -g repo.gh-momo-plugin git ...
2024-2030全球与中国盐氯化系统市场现状及未来发展趋势.docx
04-24
2024-2030全球与中国盐氯化系统市场现状及未来发展趋势
基于深度学习的积灰检测识别-图像分类源码+数据集.zip
最新发布
04-24
详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;详情请查看资源内容中使用说明;
沈阳药科大学-答辩通用PPT模板我给母校送模板作品.pptx
04-24
PPT模板,答辩PPT模板,毕业答辩,学术汇报,母校模板,我给母校送模板作品,周会汇报,开题答辩,教育主题模板下载。PPT素材下载。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值