代码审计
文章平均质量分 86
代码审计系列文章
希潭实验室
ABC_123,2008年入行网络安全,某部委网络安保工作优秀个人,某部委网络安全防护培训外聘讲师,某市局特聘网络安全专家,某高校外聘讲师,希潭实验室创始人。Struts2检测工具及Weblogic T3/IIOP反序列化工具原创作者,擅长红队攻防,APT技战法分析,代码审计,内网渗透。专注于前沿网络安全技术。
展开
-
第38篇:Checkmarx代码审计/代码检测工具的使用教程(1)
Part1 前言Checkmarx是以色列研发的一款代码审计工具,是.NET开发的,只能在Windows下使用。很多人喜欢把它和fortify进行比较,其实很难说两款工具孰优孰劣,各有秋千吧,两款工具配合起来互补一下更好。Checkmarx和Fortify一样,是商业版的,没有免费版。就我本人实战使用的经验来看,对于有些高危漏洞,有时候Fortify能扫出来,有时候Checkmarx能扫出来,...原创 2022-12-21 09:06:50 · 7529 阅读 · 0 评论 -
第37篇:fortify代码审计工具的使用技巧(1)-审计java代码过程
Part1 前言在正式文章之前,插播一下:恭喜梅西圆梦,获得世界杯冠军,加冕球王,一场精彩绝伦的球赛。开心之后,还是要静下心学习的,我们也要继续努力。Fortify全名叫Fortify SCA,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款很厉害的Web漏洞扫描器叫Webinspect。美国的Fortify、美国的Coverity、美国的Codesecure、美国的IBM...原创 2022-12-19 20:10:02 · 2831 阅读 · 3 评论 -
第39篇:Coverity代码审计/代码扫描工具的使用教程
Part1 前言前面几期介绍了Fortify及Checkmarx的使用,本期介绍另一款代码审计工具Coverity的使用,Coverity可以审计c、c++、Java等代码,使用起来非常麻烦,相比于Fortify和Checkmarx,Coverity对于代码审计工作最大的遗憾就是,Coverity要求代码完美编译(不知道有没有网友可以解决这个缺憾),而我们在日常的工作中,不太可能拿到可以完美编...原创 2022-12-23 20:43:47 · 4707 阅读 · 0 评论 -
第41篇:Klocwork代码审计/代码扫描工具的使用教程
Part1 前言前面几期介绍了Fortify、Checkmarx、Coverity等商用代码审计工具的使用,方便大家上手,本期介绍另一款商用代码审计工具Klocwork的使用。Klocwork是来自加拿大的代码审计工具,同样可以支持C++、java及c#等代码的审计工作。求助:哪位朋友有Codesecure、IBM Security AppScan Source、国产的codepecker代码...原创 2023-01-01 16:41:25 · 4589 阅读 · 0 评论 -
第42篇:Fortify代码审计命令行下的使用与调用方法
Part1 前言最近感染了新冠,大病初愈,没气力写复杂的文章了,索性就把《代码审计工具系列教程》写完吧。前面几期分别讲了Fortify、Checkmarx、Coverity、Klocwork等代码审计工具的使用,反响还不错,本期讲讲Fortify命令行下的调用方法。Fortify的命令行程序名字是sourceanalyzer.exe,如果您没用过这个程序,那Fortify可真是需要好好补补课了...原创 2023-01-03 19:16:40 · 2260 阅读 · 0 评论 -
第43篇:国内商用代码审计工具CodePecker啄木鸟的使用教程
Part1 前言最近感染了新冠,大病初愈,没有气力写复杂的文章了,就抽空把《代码审计工具系列教程》写完吧,前面几期介绍了商用代码审计工具Fortify、Checkmarx、Coverity、Klocwork的使用,同时也着重介绍了国内少有人提起的Fortify命令行的使用方法,方便大家调用Fortify命令行程序进行自动化代码审计平台的开发。在此之前介绍的代码审计工具都是国外的,国内的商用代码...原创 2023-01-04 20:44:54 · 2025 阅读 · 0 评论 -
第60篇:Thymeleaf模板注入漏洞总结及修复方法(上篇)
Part1 前言前一阵子朋友让我帮忙看一套金融系统源代码的安全问题,从去年大比赛过后,我好久没审计过代码了,于是就仔细看了看。首先这套系统用的是Springboot框架,而且没有找到Java反序列化漏洞,SQL注入漏洞被预编译写法彻底封死,也没有上传漏洞,Fastjson用的1.2.83版本,Log4j2版本也较新。最后快放弃的时候,重新检查了配置文件,发现了thymeleaf组件,通过ide...原创 2023-05-06 19:20:13 · 2733 阅读 · 1 评论