第41篇:Klocwork代码审计/代码扫描工具的使用教程

最新推荐文章于 2024-06-02 15:16:35 发布
最新推荐文章于 2024-06-02 15:16:35 发布
阅读量4.7k 收藏 27
点赞数 2
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71692682/article/details/128517668
版权

0562982da367c069a4911169955f5111.png

 Part1 前言 

前面几期介绍了Fortify、Checkmarx、Coverity等商用代码审计工具的使用,方便大家上手,本期介绍另一款商用代码审计工具Klocwork的使用。Klocwork是来自加拿大的代码审计工具,同样可以支持C++、java及c#等代码的审计工作。

求助:哪位朋友有Codesecure、IBM Security AppScan Source、国产的codepecker代码审计工具的破解版或者是试用版,方便的话发我试用一下,保证不外传,保证不用于商业目的,Thanks♪(・ω・)ノ

 Part2 使用过程 

正版软件是需要加密狗授权的,我这里摸索出来一个标准步骤,方便大家上手少走弯路。Klocwork安装完成后,将以下两个路径添加到环境变量中:C:\Klocwork\10\CMD\binC:\Klocwork\10\Server\bin。在使用之前,首先删除C:\Klocwork\10\Server目录的log文件。

d628b1db3f207727f98fb0916b666670.png

接下来分别启动Klocwork代码审计工具的3个服务,强烈建议大家不要选择一键启动,否则服务启动失败,难以排查原因出在哪里。

 1   启动license服务:

kwservice -r projects_root start license

 2   启动数据库服务:

kwservice -r projects_root start database

 3   启动Web服务和分析引擎:

kwservice -r projects_root start klocwork

22e5f6ff54af822f13bba2732204eb41.png

访问如下URL地址,如果Web界面能够正常打开,说明前面步骤没有问题。

http://127.0.0.1:8085/portal/Portal.html

9be9afc84cacfae3fdd174881c19d787.png

在正式开始审计Java代码前,需要设置一下Java编译环境,添加ANT环境变量%ANT_HOME%\bin如下。

99d50dbaba78e24a456bb3dd1ca60f79.png

接下来开始对Java代码进行编译。首先运行ant clean,等待编译完成,点击kwant之后,在你选择的java代码文件夹中会生成一个kwinject.out文件。

c44a716be55aadb7c720b5b0979684ea.png

接下来连续运行3个命令:kwcheck createkwcheck import kwinject.outkwcheck run

0fc84ed63493d86addf5167f9326044c.png

扫描完成之后,执行kwgcheck,会弹出一个软件界面,点击最下边的漏洞问题条目,即可对代码漏洞进行分析和查看。

6aadd2fd5794b1bd9c8899c52cf29075.png

如果出现中文乱码问题,可以在这里选择UTF-8编码。

a09fb5f8667fa800d9e9c6686643ada1.png

Klocwork我用的不是很多,这篇文章旨在节省大家看长篇大论的说明书的时间。

 Part3 总结 

Help: Which friend has a cracked or trial version of Codesecure, Klockwork, and IBM Security AppScan Source? If it's convenient, send it to me for trial, and I guarantee that it will not be used for commercial purposes。Thanks♪(・ω・)ノ。Contact me by e-mail : 0day123abc#gmail.com(replace # with @)。

0e0f71b2fd9e6164338c002bda1ff0d4.png

专注于网络安全技术分享,包括红队攻防、蓝队分析、渗透测试、代码审计等。每周一篇,99%原创,敬请关注

Contact me: 0day123abc#gmail.com(replace # with @)

f4e688d986870fba3357c43cdf7d9a27.jpeg

希潭实验室
关注
  • 2
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Klocwork用户端使用指南_M.pdf
12-23
Klocwork 包括 Server Build 版本和 User Desktop 版本,可根据实际情况安装。安装可以 按照默认目录安装,也可以创建三个新的路径,如 C:\KW\8.1.2.10\server、C:\KW\8.1.2.10\pr 和 C:\KW\8.1.2.10\client,分别安装 Server 版,指定工程路径和 User 版,以方便命令行操作。
klocwork 2019
zxctty的博客
06-18 5477
最近更新了下klocwork 2019,整理安装如下: 1、服务端安装 继续下一步 选择安装路径,默认下一步 等待安装完成 安装完成 2、客户端安装 等待安装完成 安装完成 3、登录web端 4、创建分析工程 5、运行分析 6、分析结果 ...
Klocwork部署的安全最佳实践
weixin_49715102的博客
07-11 1321
在安装任何基于web的应用程序时,都必须遵循安全最佳实践。本文概述了设置Klocwork的步骤,这是一款静态分析和SAST工具,旨在实现安全操作。Klocwork通常本地部署,并且位于防火墙之后。如有可能在互联网上暴露任何内容,则需采取额外的预防措施。......
代码审计:Fortify SCA 代码审计神器.
最新发布
网络安全领域___专研者.
06-02 1159
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
Docker容器使用指南:如何将Klocwork作为一个容器创建和运行
cmdos的专栏
03-22 213
在这个Docker容器使用指南中,您将学习如何创建和运行Klocwork容器。Docker的基本定 湖南干部培训学校 www.gxganxun.cn 义:一种流行的开源操作系统级虚拟化(通常称为“容器化”)技术,它是轻量级的,可移植的,主要在Linux和Windows上运行。Docker让使用容器创建、部署和运行应用程序变得更容易。从根本上说,容器只不过是一个应用了一些附加封装特性的运行流程。因此,有了容器,开发人员(和DevOps管理员)就可以将应用程序与运行该应用程序所需的所有东西(包括代码、运行时、库
Klocwork安装
旮旯
11-19 8795
简单介绍一下Klocwork在windows下的安装,操作系统是win7,Klocwork的版本是10.0。 第一步:由于Klocwork的安装程序已十分成熟,所以在安装之前不需要什么准备共走。双击Klocwork的安装包,会出现下图的安装引导界面,点击Next按钮。 第二步:下图是协议界面,点击Next按钮。 第三步:选择Klocwork的安装目录,点击Next按钮 第四步:
Klocwork — 符合功能安全要求的自动化静态测试工具
经纬恒润的官方博客
07-07 817
Klocwork工具应用静态分析技术,可实现对C、C++、Java等代码的全面静态分析。检查问题种类既包含软件质量和安全缺陷相关,也可实现多种语言编码规则规范的检查。通过使用Klocwork,可以帮助开发人员能够在开发早期检测到程序可能存在的缺陷和漏洞,在开发过程中即可提升代码安全可靠性,确保代码质量可控。 功能及特点 在开发阶段使用Klocwork开展静态分析,立足程序安全性角度进行测试,有利于尽早发现和修复安全性相关问题,并确保代码符合国际公认的编码标准。 •主要功能 ♦ DevSecOps:Kloc
klocwork10安装及使用
weixin_40593654的博客
08-01 2882
Klocwork是一款广泛使用的静态代码分析工具,用于发现和修复软件代码中的缺陷、潜在漏洞和安全问题。它可以在早期阶段自动化地检测和报告代码中的错误,从而帮助开发团队提高代码质量、可靠性和安全性。
代码扫描工具Klocwork
youyoulumingwl的博客
05-12 1027
Klocwork is a static analysis tool used to scan software code at build time for security and logic flaws.https://help.klocwork.com/current/en-us/concepts/home.htm配置好server license 等相关信息之后可以在本地编译、扫描、上传报告。在coverity desktop 中create project之后,本地会生成project_root
Klocwork10–windows安装教程
weixin_45913886的博客
12-20 4375
在第一个中输入D:\MyTool\Klocwork10\Klocwork10\Klocwork10\Klocwork10Green\Klocwork\10\Server\3rdparty\bin\lmgrd.exe。在第二个中输入D:\MyTool\Klocwork10\Klocwork10\Klocwork10\Klocwork10Green\Klocwork\10\Server\projects_root\licenses。选择C/C++语言,点击Add按钮,添加相应的文件,选择打开,
Klocwork
HDHYCP的博客
08-16 299
Klocwork SAST分析C、C++、C#、 Java、JavaScript、Python和Kotlin编程语言,识别软件的安全、质量和可靠性问题,确保对编程标准的合规性。软件中出现安全漏洞时,我们的以安全为中心的静态分析引擎就会对其进行识别,这有助于尽早发现和修复漏洞,并使软件符合国际和行业公认的安全标准以及用户自己的企业要求。通过将静态代码分析与其他的开发工具集无缝集成,Klocwork实现了缺陷检测活动的左移,增强了开发人员对工具采用,以此作为培训开发人员和提高生产率的工具
klocwork操作步骤 以及介绍
07-17
Klocwork 介绍 Klocwork - 源代码缺陷自动分析工具概述:Klocwork 软件是 Klocwork 公司基于专利技术分析引擎开发的,综合应用了多种近年来 最先进的静态分析技术,是出色的软件静态分析软件。Klocwork 产品与其它同类产品相比, 具有很多突出的特征:Klocwork 支持的语言种类多,能够分析 C、C++和 Java 代码;能够发 现的软件缺陷种类全面,既包括软件质量缺陷,又包括安全漏洞方面的缺陷,还可以分析对软 件架构、编程规则的违反情况;软件分析功能全面,既能分析软件的缺陷,又能进行可视化的 架构分析、优化;能够分析软件的各种度量;能够提供与多种主流 IDE 开发环境的集成;能 够分析超大型软件(上千万代码行)。主要功能: 缺陷检测提供多角度的各种缺陷类型的分析。自动化的缺陷检测功能易于使用,定制灵活,具有图 形化的构建和报表管理图形界面,拥有业界领先的消息过滤器,极具柔性的配置,和强大的学 习调整知识库;Klocwork 能够分析 C/C++和 Java 代码,生成代码问题报告,能够发现的缺陷 类型举例。(详细参见附录): C/C++缺陷类型样例 空指针释放 内存管理问题(如:内存泄漏) 数组越界 未初始化数据使用 编码风格问题(如:在条件中赋值) Java 缺陷类型样例 效率错误(如:空的 finalize 方法) 可维护性问题(如:空的 catch 从句) 可靠性问题(如资源泄漏) 安全漏洞检测Klocwork 确信软件安全性是软件质量中一个重要的、并越来越受重视的方面。同样的, 所有的 Klocwork 安全漏洞分析是基于市场领先的缺陷检测能力,从原来的缺陷检测分离出来 单独的安全漏洞检测和违反推荐的安全代码最佳实践的缺陷检测。 能够检测到的安全漏洞类型 举例(详细参见附录) C/C++安全漏洞分类 访问控制缺陷 缓冲区溢出 DNS 欺骗 忽略返回值 注入缺陷 不安全的存储 未经验证的用户输入 Java 安全漏洞分类 拒绝服务 注入缺陷(如:SQL 注入、进程注入等) 未经验证的输入 移动代码安全 有漏洞的会话管理 跨站点脚本 出错处理不当
KlocWork-TOOL
12-27
KlocWork
Klocwork_C_C++_Cmd-line.pdf
06-27
Klocwork v8.0 文档,英文版,Klocwork_C_C++_Cmd-line.pdf
Klocwork代码扫描excel表格调整宏
04-10
Klocwork代码扫描excel表格调整宏;非常方便的一个宏,只需将扫描结果导出到txt文本,全选复制到Excel表格中,然后导入调整宏,执行,即可调整好表格数据。
代码缺陷分析工具Klocwork白皮书K2019.v1.pdf
11-05
Klocwork 软件是 Rogue Wave 公司基于专利分析引擎技术开发的一款软件源代码缺陷和安全漏洞分 析工具Klocwork 综合应用了多种程序分析领域最先进的技术,是最为出色的以静态算法分析运行时缺 陷的软件。 Klocwork...
静态代码分析工具汇总
04-01
静态代码分析工具是一种用于在程序执行前检测代码潜在问题的工具。它们通过对源代码进行深度检查,无需实际运行代码,就能发现潜在的错误、漏洞、不符合编码规范的情况以及可能的安全风险。这种技术在软件开发中扮演...
超好用的代码统计工具
08-10
超好用的代码统计工具,不需要破解,下载安装后就能用,安装简单
klocwork扫描规则
07-27
Klocwork是一种静态代码分析工具,用于检查和发现代码中的潜在缺陷和安全漏洞。它基于一组称为"扫描规则"的规则来执行代码分析。这些规则定义了代码中可能存在的问题模式,包括常见的编程错误、内存泄漏、空指针引用等。 Klocwork提供了一系列预定义的扫描规则,涵盖了多种编程语言和应用程序开发环境。这些规则可以根据项目需求进行配置和定制。此外,Klocwork还支持自定义规则的创建,以满足特定项目或行业的要求。 通过使用Klocwork扫描规则,开发团队可以在代码编写过程中及时发现潜在的问题,并采取相应的措施进行修复,从而提高代码质量和应用程序的可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希潭实验室

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值