- 博客(7)
- 收藏
- 关注
RSS订阅原创 铲子sast—Java代码扫描工具
在我们日常的网络安全工作中,面对越来越复杂的应用环境和不断演化的威胁,保持代码的安全性成了重中之重。作为一名技术人员,我时常感受到开发和安全之间的博弈,而这其中,静态应用程序安全测试(SAST)工具的重要性显而易见。此外,它允许我直接在工具内进行反编译,这样即使是一些难以理解的第三方库,也能快速搞清楚其实现原理。更重要的是,它支持导出简洁的漏洞报告,包括危害等级及修复建议,这让我们在演练后与开发团队的沟通更加高效无阻。最近,我尝试了一款开源的 SAST 工具——“铲子”,让我在日常工作中找到了不少便利。
2024-10-23 10:55:48
274
原创 Java 代码扫描工具
CodeQL是一个免费开源的代码语义分析引擎,利用QL语言对代码进行“查询”,实现对代码的安全性白盒审计和漏洞挖掘。铲子SAST是一个简单实惠的工具,支持Java及其生态系统中的框架和库。它通过构建数据流图来分析代码,提供常见的安全漏洞规则检测,并允许用户自定义规则。Fortify能够支持多种编程语言和开发环境,具有高效的扫描速度和精准的漏洞定位功能。铲子 SAST 是一款针对 Java 代码安全的扫描工具,简单好用易上手价格便宜,自定义规则可以根据用户需求自行编写。
2024-10-16 11:34:17
638
原创 铲子 sast—针对 Java 代码审计工具的自定义规则介绍
把写好的自定义规则放在一个文件夹规则文件命名的结构需要与内置规则保持一致,写好的规则可以直接在规则管理的编辑器进行运行测试,运行于当前打开的任务比如 any_mybatis_sqli.cypher , 数据流规则格式为 source类型_sink类型_漏洞类型.cyphper比如 pom_actuator_misconfig.cypher, 单节点规则格式为 文件类型_组件类型_漏洞类型.cypher加载规则:在菜单里找到规则管理,自定义规则tab里点击加载规则即可。
2024-10-13 10:45:48
860
原创 新一代 Java 代码审计工具—铲子 SAST
支持语言: java(Servlet&filter、spring、dubbo、thirft、mybatis、dropwizard、jdk内置httpserver、jsp,xml、yaml、properties等)采用技术:污点分析,铲子会将java、xml(mybatis、dubbo)等统一构建数据流图,无需编译,然后进行污点分析,漏洞结果可在数据流窗口进行方便的阅读。
2024-10-09 20:23:56
881
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人