cwe_checker初识别

已于 2023-07-19 14:43:08 修改
阅读量1.5k 收藏 1
点赞数
分类专栏: 安全 文章标签: cwe_checker
于 2022-07-06 10:31:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leiwuhen92/article/details/125634453
版权

https://github.com/fkie-cad/cwe_checker  fkie-cad/cwe_checker  二进制静态漏洞检测工具的安装与使用

一、cwe_checker是什么?

1.1、介绍

cwe_checker是一套用于检测常见错误类的检查,例如空指针引用和缓冲区溢出。这些错误类正式称为通用弱点枚举(CWE)

这些检查基于各种分析技术,从简单的启发式到基于抽象解释的数据流分析。 它的主要目标是帮助分析师快速找到潜在的易受攻击的代码路径

它的主要关注点是在Linux和Unix操作系统上常见的ELF二进制文件。cwe_checker 使用 Ghidra 将二进制文件反汇编为一种通用的中间表示,并在此 IR 上实现自己的分析。因此,分析可以在大多数CPU架构(Ghidra 可以反汇编)上运行,这使得 cwe_checker 成为固件分析的宝贵工具。

1.2、特点

  • 设置非常简单,只需构建 Docker 容器!

  • 它分析了几种 CPU 架构的 ELF 二进制文件,包括 x86、ARM、MIPS 和 PPC

  • 由于其基于插件的架构,它是可扩展的

  • 它是可配置的,例如 将分析应用于新 API查看在 Ghidra 中注释的结果

  • cwe_checker 可以作为插件集成到 FACT 中

1.3、已分析的CWE 警告列表

cwe_checker 将二进制文件作为输入,基于二进制文件的静态分析运行多项检查,然后输出在分析期间发现的 CWE 警告列表。

到目前为止,实施了以下分析:

  • CWE-78: OS Command Injection (currently disabled on standard runs)   操作系统命令注入

  • CWE-119 and its variants CWE-125 and CWE-787: Buffer Overflow   缓冲区溢出

  • CWE-134: Use of Externally-Controlled Format String   使用外部控制的格式字符串

  • CWE-190: Integer Overflow or Wraparound   整数溢出或环绕

  • CWE-215: Information Exposure Through Debug Information  通过Debug信息导致的信息暴露

  • CWE-243: Creation of chroot Jail Without Changing Working Directory  未改变工作目录时创建chroot Jail

  • CWE-332: Insufficient Entropy in PRNG     PRNG中信息熵不充分

  • CWE-367: Time-of-check Time-of-use (TOCTOU) Race Condition 检查时间与使用时间(TOCTOU)的竞争条件

  • CWE-416: Use After Free and its variant CWE-415: Double Free  释放后使用

  • CWE-426: Untrusted Search Path  不受信任的搜索路径

  • CWE-467: Use of sizeof() on a Pointer Type  在指针类型上使用sizeof()

  • CWE-476: NULL Pointer Dereference  空指针引用

  • CWE-560: Use of umask() with chmod-style Argument  在chmod类型参数中使用umask()

  • CWE-676: Use of Potentially Dangerous Function  潜在危险函数的使用

  • CWE-782: Exposed IOCTL with Insufficient Access Control  无充分访问控制条件下暴露IOCTL

二、基本使用

1、拉取镜像

docker pull fkiecad/cwe_checker:stable

2、使用下面这个命令即可用这个镜像里的工具去测试二进制

docker run -v /PATH/TO/BINARY:/input  fkiecad/cwe_checker:stable  /input --json --quiet

参数:

  • PATH/TO/BINARY:二进制的路径

  • /input:二进制的名字

3、运行成功,出现如下页面

3.1、有cwe漏洞样本

root@node1:~# docker run  -it -v /data/.../squashfs-root/usr/sbin/IGD:/input fkiecad/cwe_checker:stable  /input --json --quiet
[
  {
    "name": "CWE467",
    "version": "0.2",
    "addresses": [
      "0000aa7c"
    ],
    "tids": [
      "instr_0000aa7c_1"
    ],
    "symbols": [],
    "other": [],
    "description": "(Use of sizeof on a Pointer Type) sizeof on pointer at 0000aa7c (strncpy)."
  },
  {
    "name": "CWE676",
    "version": "0.1",
    "addresses": [
      "00009b20"
    ],
    "tids": [
      "instr_00009b20_1"
    ],
    "symbols": [
      "FUN_00009adc"
    ],
    "other": [
      [
        "dangerous_function",
        "strlen"
      ]
    ],
    "description": "(Use of Potentially Dangerous Function) FUN_00009adc (00009b20) -> strlen"
  },
  {
    "name": "CWE676",
    "version": "0.1",
    "addresses": [
      "00009b3c"
    ],
    "tids": [
      "instr_00009b3c_1"
    ],
    "symbols": [
      "FUN_00009adc"
    ],
    "other": [
      [
        "dangerous_function",
        "strncpy"
      ]
    ],
    "description": "(Use of Potentially Dangerous Function) FUN_00009adc (00009b3c) -> strncpy"
  }
]

3.2、无cwe漏洞样本

root@node1:~# docker run  -it -v /nas/podding_unpack/e3471988-9afb-41ef-9357-661890181cbf/9c1daf21b640f463f097c12d82a8dadcb608433b3bb8415ae30b76259b8ba906/_升级帮助.doc.extracted/151A:/input  fkiecad/cwe_checker:stable  /input --json --quiet
Execution of Ghidra plugin failed: Process was terminated.
ERROR REPORT: Import failed for file: /input (HeadlessAnalyzer)
ERROR The AutoImporter could not successfully load /input with the provided import parameters. Please ensure that any specified processor/cspec arguments are compatible with the loader that is used during import and try again. (HeadlessAnalyzer)
青霄
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
cwe_checkercwe_checker在二进制可执行文件中找到易受攻击的模式
02-06
cwe_checker 注意:最近,我们将默认分析后端从BAP更改为较新的Ghidra后端。 该开关会在命令行界面和docker映像界面中引起一些更改。 请确保相应地更新脚本! 或者,稳定版本仍使用旧界面。 什么是cwe_checkercwe_checker是一整套检查,以检测常见的错误类,例如使用危险函数和简单的整数溢出。 这些错误类正式称为(CWE)。 它的主要目的是帮助分析人员快速找到易受攻击的代码路径。 它的主要重点是Linux和Unix操作系统上常见的ELF二进制文件。 cwe_checker使用将二进制文件分解为一个常见的中间表示形式,并在此IR上执行自己的分析。 因此,
Code_Checker以及规则说明.rar
12-06
在“Code_Checker以及规则说明”这个压缩包中,很可能包含了关于CodeChecker的详细使用指南、规则解释、示例代码以及如何自定义和配置检查规则的文档。这些资源对于理解和使用CodeChecker来说是至关重要的,可以帮助...
信息安全_数据安全_cwe_checker:Hunting Binary Code .pdf
08-21
信息安全_数据安全_cwe_checker:Hunting Binary Code 安全可信 安全设计 数字取证 云安全 安全风险
cwe_checker 二进制静态漏洞检测工具的安装与使用
^_^
04-20 4776
提到静态漏洞检测工具,大部分人印象中都是源码级。然而有些场景是没有源码的,比如固件分析等等。本文介绍一个二进制的静态漏洞检测工具cwe_checker的基本使用方法。其开源于:https://github.com/fkie-cad/cwe_checker 他的安装和使用方式都很简单。 安装 使用docker安装,拉取他的镜像 docker pull fkiecad/cwe_checker:latest 本地安装可以去github仓库看README,这里就不再赘述了。 使用 使用下面这个命令即可用这个镜像里
CWE Checker: 你的代码安全守护者
最新发布
gitblog_00024的博客
04-10 375
CWE Checker: 你的代码安全守护者 项目地址:https://gitcode.com/fkie-cad/cwe_checker CWE Checker 是一个开源项目,旨在帮助开发者检测并预防常见的软件安全漏洞。该项目基于流行的语言分析框架,通过识别与OWASP Top Ten和CWE(Common Weakness Enumeration)列表相关的编码缺陷,提供了一种自动化的方式以提...
CWE
xbt312的专栏
07-13 343
CWE http://cwe.mitre.org/data/definitions/15.html
cwe
weixin_30301449的博客
05-26 228
转载于:https://www.cnblogs.com/SZLLQ2000/p/5531668.html
cwe_latest 2021 common weakness enumeration.pdf
03-24
CWE(Common Weakness Enumeration)是一个公开的、社区驱动的弱点分类体系,旨在为软件安全弱点提供一致的命名和描述,便于开发者、安全专家以及组织识别、优先级排序和解决这些弱点。 在CWE Version 4.6中,包含...
CWE-checker分析.pptx
10-24
**CWE Checker 研究与分析** CWE (Common Weakness Enumeration) Checker 是一个...项目地址(https://github.com/fkie-cad/cwe_checkerBLACK_HAT_2022)提供了更多的资源和信息,供开发人员深入了解和使用该工具。
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
CWE工具 一个基于Common Weakness Enumeration的OWASP / CAPSEC数据库的命令行CWE发现工具。 安装 可通过Node.js工具执行 如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...] 码头工人 从Docker Hub提取图像 docker pull lirantal/cwe-tool docker run --rm lirantal/cwe-tool --search test 本地构建说明 git clone https://github.com/OWASP/cwe-tool docker build -t docker.pkg.github.com/owasp/cwe-tool/cwe-tool . -t ima
checker_Coverity能查找到缺陷类型_中文.pdf
07-16
Coverity能够查找到的缺陷类型 C/C++程序代码审查单 栈缓冲区溢出和堆缓冲区溢出 资源泄露 代码检查
site_checker:一个简单的工具,用于检查您网站上的参考资料
06-16
###站点检查器 Site Checker 是一个简单的 ruby​​ gem,它可以通过递归访问引用的页面和图像来帮助您检查网站的完整性。 我在我的测试环境中使用它来确保我的网站没有任何死链接。 安装 gem install site_checker 用法 在测试代​​码中 首先,您必须通过将此行添加到要使用它的文件来加载site_checker : require 'site_checker' 如果你想用它进行测试,该行应该转到test_helper.rb 。 用法很简单: check_site("http://localhost:3000/app", "http://localhost:3000") puts collected_remote_pages.inspect puts collected_local_pages.inspect puts collected_
CWE源码
冲冲冲
03-22 827
CWE(Character-enhanced Word Embedding), learn embedding jointly for word but ignores radicals CWE源码
漏洞检测工具和论文
gezigezao的博客
10-24 159
基于第三节中描述的限制,我们的方法中的不受信任源标识考虑了以下情况:(1) 二进制中的具体零值。因此,我们只关注原始参数寄存器作为不受信任的源。根据论文中的描述,cwe_checker可以检测到某些特定情况下的NPD漏洞,例如在Redis和Glibc等库中的漏洞[1]。论文指出,虽然这两种工具在检测其他类型的漏洞方面表现良好,但在NPD漏洞检测方面的效果有限。总之,根据论文中的描述,这篇论文主要讨论了NPD漏洞以及使用bap-toolkit和cwe_checker等工具进行NPD漏洞检测的挑战和限制。
为网络安全红队方向提供的资源,工具大合集(渗透测试)
youmaob的博客
07-06 5151
在这个信息化时代,网络安全红队(渗透测试)的作用越来越重要,而这个合集中的工具和资源将帮助您更好地进行渗透测试,找出您所负责系统和数据的安全漏洞,为您的组织提供更加全面的安全保障。
CWE发布的2021年25条最危险软件错误
m0_50579386的博客
04-22 4698
CWE是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。 作为目前最权威的源代码缺陷研究项目,CWE的成果已被越来越多专业人员认可,逐渐成为衡量源代码缺陷检测产品检测能力的重要衡量标准。
代码安全_弱点(脆弱性)分析 CWE_20200807
sun0322
08-13 1221
■其他资料 https://blog.csdn.net/sxzlc/article/details/105202979 ■分析对象code ・352 http://cwe.mitre.org/data/definitions/352.html ・693 http://cwe.mitre.org/data/definitions/693.html ・16 http://cwe.mitre.org/data/definitions/16.html ・...
三款主流静态源代码安全检测工具比较
热门推荐
whatday的专栏
01-07 6万+
静态源代码安全检测工具比较 1. 概述 随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。 根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而
IR checker
sinat_39296613的博客
03-03 144
cwe checker
10-23
CWE Checker是一种用于检测和识别软件中常见弱点和漏洞的工具。CWE代表“常见弱点枚举”(Common Weakness Enumeration),是一种用于描述和分类软件中的安全弱点的标准化方法。 CWE Checker基于CWE列表中的不同类型弱点,通过分析源代码或二进制文件,帮助开发人员发现和修复可能导致安全风险的问题。它可以帮助开发人员更早地发现和解决潜在的漏洞,从而增强软件的安全性。 CWE Checker使用各种静态和动态分析技术。静态分析是通过检查源代码或可执行文件中的语法、结构和逻辑错误等方法来发现问题。动态分析则是通过执行程序并监控其行为来检测潜在的漏洞和安全问题。 CWE Checker不仅可以对开发人员的代码进行分析,还可以用于审核第三方提供的软件组件和库。这有助于减少软件中的依赖性漏洞,提高整体系统的安全性。 在使用CWE Checker时,开发人员可以根据他们关注的特定安全漏洞类型进行配置和定制。CWE Checker会输出包含问题描述、风险级别和修复建议的报告,使开发人员可以更快地定位和解决问题。 总之,CWE Checker是一种有助于发现和修复软件中常见弱点的工具。它通过分析源代码和二进制文件,帮助开发人员提前发现潜在的安全问题,从而增强软件的安全性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值