如何让代码审计更快速?

已于 2022-05-31 21:31:54 修改
阅读量278 收藏
点赞数 1
分类专栏: 笔记 文章标签: intellij-idea 安全 java
于 2022-05-30 11:13:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27387017/article/details/125042264
版权

背景

在大环境下,安服仔的剧烈斗争下,各大厂家另开僻路,因而安服仔要的要求越来越高。以前安服仔只要测试一些系统,而如今,不仅打的了攻防,做得了代码审计,还得能写出一手好的ppt,更要会测试各种系统。而money还是那个money,内卷只会提高技术水平。

为什么需要代码审计

前面提到为啥需要代码审计,在目前主流来说,漏洞爆发的源头多是供应商使用了不安全的组件或者是代码逻辑存在漏洞。那么如果在开发的时候注意或者在未被攻击者发现前制止,这样就会提前阻断后面可能的损失。

新手如何上手代码审计

俗话说:欲先善其事,必先利其器
今天介绍一款扫描工具。墨菲安全旗下的一款CLI 工具组件扫描工具。先看一下我的扫描结果。(ps:个人主要是专攻java)
在这里插入图片描述
是不是很牛~这些是我学习的系统代码审计。
这款插件目前支持 Java、JavaScript、Golang、Python、PHP 语言项目的检测,后续会逐渐支持其他的开发语言。

使用场景

1、希望在本地环境中检测代码文件
2、希望集成到 CI 环境中对代码项目进行检测

工作原理

1、对于使用不同语言/包管理工具的项目,墨菲安全的 CLI 工具主要采用项目构建或直接对包管理文件进行解析的方式,来准确获取到项目的依赖信息
2、项目的依赖信息会上传到服务端,并基于墨菲安全持续维护的漏洞知识库来识别项目中存在安全缺陷的依赖

安装方式

提供集中方式linux、win、以及idea插件方式。
下面展示使用idea插件的一下使用。
1、idea安装插件
在这里插入图片描述
2、官网生成key
在这里插入图片描述
3、配置idea插件,将key粘贴到此处,并认证。
在这里插入图片描述
4、点击扫描
在这里插入图片描述
5、整理出来的报告
在这里插入图片描述
漏洞组件扫描出来了,再结合手动代码审计,基本都能出漏洞。这样审计出的漏洞,甲乙方都满意~~~升职加薪指日可待~

总结

欲先善其事,必先利其器
作为资深安服仔,值得推荐的一款工具~

雨天实验室
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
何为代码审计?什么时候做比较合适?
Uguardsec的博客
12-15 796
一文快速了解什么是代码审计,解析代码审计流程、范围等信息
网络渗透测试实训周笔记3.0
m0_65456462的博客
03-27 4584
1.代码审计概念 代码审计,是对应用程序源代码进行系统性检查的工作。目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险。 代码审计不是简单的检查代码,审计代码的原因是确保代码能安全的做到对信息和资源进行足够的保护,所以熟悉整个应用程序的业务流程对于控制潜在的风险是非常重要的。 代码审计入门基础:html/js基础语法、PHP基础语法 ,面向对象思想,PHP小项目开发(Blog、注册登录、表单、文件上传、留言板等),Web漏洞挖掘及利用,W
java代码审计基础知识、反编译、idea使用技巧
Thunderclap的博客
07-03 1250
java代码审计基础知识、反编译、idea使用技巧
代码审计流程步骤
任浩的博客
01-13 2145
1、配置审计分析环境 2、熟悉业务流程 3、分析程序架构 4、工具自动化分析 5、人工审计结果 6、整理审计报告
代码审计总结
热门推荐
m0_48907714的博客
04-29 1万+
代码审计流程、代码审计流程、代码审计实操、代码审计提升
代码审计--源代码审计思路
02-24
但是同样会有很多弊端,通过逆向回溯的方式只能对通用漏洞进行快速审计,不能全面挖掘有价值的漏洞,如果在时间允许的情况下,企业中安全运营对自身产品进行代码审计,就需要了解整个应用的业务逻辑,比如越权类...
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,...
duomicms代码审计1
08-03
1、可以快速浏览完系统运的代码顺序、 2、了解系统各件功能、 3、了解系统整个录的分布情况 1、外部变量的检测和转义 2、webscan.php件【做了次过滤后
Java代码安全审计
最新发布
04-22
扎根科技 191文章 22万总阅读 查看TA的文章> 评论 分享 微信分享 ...移动安全是指保护移动设备和移动应用程序免受安全威胁和攻击的一系列措施...随着移动设备的普及和移动应用的快速发展,移动安全变得越来越重要。
记一次简单的代码审计
xiaoi123的博客
12-07 657
这段时间在想着做个高校的会员管理系统,所以在chrome上装了个掘金插件,今天发现日推推了个类似的PHP写的小程序 本着能省就省,有自行车还造什么轮子的原则 于是乎 git clone https://github.com/chaodada/member.git 经过简单的部署后算是能打开了 后台UI做的真心差评 然后简单的看了下代码,发现几个SQL注入和一个越权 SQL注入 程序使用P...
如何使代码审查高效
谷子
10-22 469
本文要点 代码审查者在审查代码时有非常多的东西需要关注。一个团队需要明确对于自己的项目哪些点是重要的,并不断在审查中就这些点进行检查。 人工审查代码是十分昂贵的,因此尽可能地使用自动化方式进行审查,如:代码格式、代码样式、检查常见bug、确定常见安全问题以及运行自动化测试。 当针对性能进行审查时,了解系统的性能需求是明确潜在问题的关键。 一些简单的人工检查可以显著提升应用的安全性。...
代码审计零基础入门之思路篇
GODV的博客
06-02 521
代码审计零基础入门之思路篇代码审计的五大姿势* 黄阶功法 --- 敏感函数追踪 前言:最近这段学校很烦,总是上一些无聊的课,想学点技术又不敢无故旷课,索性就买了一堆书,坐在最后一排慢慢啃书,三周左右下来感觉收获颇丰,就想着写点东西。不敢说给后来人留个参考,就当是做个笔记巩固一下自己知识吧。 代码审计的五大姿势 通读审计 灰盒审计 单个页面通读 结合站点功能 敏感函数追踪 Ps:对于审计方式需要做到心里有数,了解各个场景下的最优解。需要注意的是各种审计姿势在具体场景下合不合适,没有优劣之分,却有高
IntelliJ IDEA 学习笔记 - 代码检查
codeke的博客
12-31 1万+
本文介绍IntelliJ IDEA中关于代码检查的简单设置
Java代码审计怎么做?
半夏_2021的博客
05-08 3026
Java代码审计怎么做?
代码审计入门
qi_SJQ_的博客
01-28 1170
代码审计 1.审计前提: 我们首先要知道审计目标的程序名、版本、当前环境(系统,中间件,脚本语言等信息)、各种插件等等。 2.审计思路: 1)关键字:搜索可控变量及特定函数,不存在过滤或过滤不严谨存在绕过导致的安全漏洞。 2)定点分析:指定漏洞的常见地方,比如用户中心的上传、留言板等地的xss、登录框的sql injection等。 3)断点调试:对于代码的执行过程分析、追踪,是否执行sql语句(数据库监控)/调用外部应用api/包含外部网页等等。 3.知道常见漏洞产生的根本—函数/关键字: 漏洞函数/.
怎样进行代码审计
蚁景网安学院
03-19 1647
怎样来php代码审计 概况: 工具和常见的几种思想 常见的点 一套简单的CMS源码审计 总结 这篇是关于php; 常见的也是php的代码审计,类似java框架,asp.net,python的Django还是有漏洞之类的,只是比较固定和稀少; 像php这种语言本身就是弱语言类型(很多点都利用了弱类型比较和转换),功能函数也是奇多(导致了其与sql,xml等语言的花式组合),加之处...
代码审计步骤
songbai220
12-11 1007
代码审计步骤 漏洞产生的原因 1、变量控制不严,一切输入都是有害的 2、变量到达有利用价值的函数(一切进入函数的变量都是有害的),漏洞的利用效果取决于最终函数的功能 步骤 1、通读代码 2、利用工具查找漏洞关键字 3、审查追踪代码,确认漏洞 4、黑白灰盒测试 工具 xseach 关键字搜索 seay 关键字搜索 fortify 漏洞扫描、追踪 工具的优势 速度快,自动化, fortify可以追踪代码给出漏洞提示 工具的局限性 1、工具本身存在一定量的误报或者漏报 2、扫描结果
.net framework 3.5安装方法
qq_27387017的博客
06-30 4356
win11和win10 的.net framework 3.5安装方法 一般很难安装好,需要以下几步 一、开启系统新 二、开启科学上网,不然新安装不了!!! 三、通过面板。程序启用和关闭功能处添加。net3.5.就会新了, 四、等待10多分钟,即可安装好!再将系统新关闭即可~...
java项目代码审计工具
10-26
Java项目代码审计工具有很多种,以下是其中几种常用的工具: 1. FindBugs:一个静态分析工具,可以检测Java代码中的潜在缺陷和错误。 2. PMD:一个静态分析工具,可以检测Java代码中的潜在问题和错误,并提供代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值