背景
在大环境下,安服仔的剧烈斗争下,各大厂家另开僻路,因而安服仔要的要求越来越高。以前安服仔只要测试一些系统,而如今,不仅打的了攻防,做得了代码审计,还得能写出一手好的ppt,更要会测试各种系统。而money还是那个money,内卷只会提高技术水平。
为什么需要代码审计
前面提到为啥需要代码审计,在目前主流来说,漏洞爆发的源头多是供应商使用了不安全的组件或者是代码逻辑存在漏洞。那么如果在开发的时候注意或者在未被攻击者发现前制止,这样就会提前阻断后面可能的损失。
新手如何上手代码审计
俗话说:欲先善其事,必先利其器
今天介绍一款扫描工具。墨菲安全旗下的一款CLI 工具组件扫描工具。先看一下我的扫描结果。(ps:个人主要是专攻java)
是不是很牛~这些是我学习的系统代码审计。
这款插件目前支持 Java、JavaScript、Golang、Python、PHP 语言项目的检测,后续会逐渐支持其他的开发语言。
使用场景
1、希望在本地环境中检测代码文件
2、希望集成到 CI 环境中对代码项目进行检测
工作原理
1、对于使用不同语言/包管理工具的项目,墨菲安全的 CLI 工具主要采用项目构建或直接对包管理文件进行解析的方式,来准确获取到项目的依赖信息
2、项目的依赖信息会上传到服务端,并基于墨菲安全持续维护的漏洞知识库来识别项目中存在安全缺陷的依赖
安装方式
提供集中方式linux、win、以及idea插件方式。
下面展示使用idea插件的一下使用。
1、idea安装插件
2、官网生成key
3、配置idea插件,将key粘贴到此处,并认证。
4、点击扫描
5、整理出来的报告
漏洞组件扫描出来了,再结合手动代码审计,基本都能出漏洞。这样审计出的漏洞,甲乙方都满意~~~升职加薪指日可待~
总结
欲先善其事,必先利其器
作为资深安服仔,值得推荐的一款工具~