VSCode-CodeQL配合靶场使用

最新推荐文章于 2024-04-27 09:30:23 发布
最新推荐文章于 2024-04-27 09:30:23 发布
阅读量472 收藏
点赞数
分类专栏: 代码审计 codeql 靶场 文章标签: vscode java ide
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34253926/article/details/127656967
版权
靶场 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
代码审计
2 篇文章 0 订阅
订阅专栏
codeql
2 篇文章 0 订阅
订阅专栏

CodeQL配合靶场使用

1.靶场准备

下载到本地即可。

https://github.com/l4yn3/micro_service_seclab/

2.CodeQL配置

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-f5CEg0f8-1667387114488)(image/image_zCZD4Vbbqr.png)]

命令行查看java环境变量,填进去。(可以顺便把maven也配了)

在这里插入图片描述

"java.jdt.ls.java.home":"/Library/Java/JavaVirtualMachines/zulu-8.jdk/Contents/Home",
"java.configuration.maven.globalSettings": "/Users/apps/apache-maven-3.8.5/conf/setting.xml",
"maven.executable.path":"/Users/apps/apache-maven-3.8.5/bin/mvn",

3.Codeql简单使用

(1)生成数据库

CodeQL是将代码转化成类似数据库的形式,基于该数据库进行分析,所以分析前要将代码生成数据库

/Users/Codeql/databases/micro为生成的文件名称,–source-root后为源代码文件夹

database create /Users/Codeql/databases/micro  --language="java"  --command="mvn clean install --file pom.xml" --source-root=/Users/codes/micro-service-seclab/

ps:如果有以下报错,检查java配置。

[ERROR] Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:3.8.1:compile (default-compile) on project micro-service-seclab: Fatal error compiling: java.lang.IllegalAccessError: class lombok.javac.apt.LombokProcessor (in unnamed module @0x5d318e91) cannot access class com.sun.tools.javac.processing.JavacProcessingEnvironment (in module jdk.compiler) because module jdk.compiler does not export com.sun.tools.javac.processing to unnamed module @0x5d318e91 -> [Help 1]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d5tXWmdB-1667387114489)(image/image_Bo-G2Jns3s.png)]

刚开始一直报错,后面排查发现是JAVA_HOME配置错误。如下图即为创建database成功,为文件夹。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rsj2CLD5-1667387114489)(image/image_opYN82SnyO.png)]

(2)导入数据库与ql

VSCode-CodeQL-From a folder,选择生成的数据库文件夹。出现对勾即为连接数据库成功。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-D8T9KP8b-1667387114489)(image/image_Bxp-4-9lVU.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FxexurGG-1667387114490)(image/image_iuCjF2Z41V.png)]

在代码区打开ql的文件夹(从git上克隆的ql)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1d5kdjsk-1667387114490)(image/image__9HAuqdiMt.png)]

(3)测试.ql查询

在下图所示的snippets下新建test.ql文件,写入以下内容。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KPfjMJD3-1667387114490)(image/image_JjdeI21Sy8.png)]

在test.ql上右键,选择【Run Queries in Selected Files】,出现下图右边的result即为成功。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hXbIAh7j-1667387114490)(image/image_i8REXiAQO1.png)]

在这里插入图片描述

ql下有很多查询语法,对ql文件按上述操作即可。

Ashely-mess
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
vscode 配置 codeql
SHELLCODE_8BIT的博客
02-25 769
vscode 配置 codeql
WEB渗透学习-upload-labs靶场
04-20
upload-labs为WEB渗透中文件上传漏洞专项练习靶场,内涵各种文件上传漏洞类型,采用关卡制,一共21关,由易到难,适合刚接触该漏洞的新手巩固练习
【作者踩坑总结0错版】vscode配置codeql-MacBook(M1/M2芯片-arm)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
05-13 2650
codeql是一款静态代码分析引擎,适用于安全人员审计源码,挖掘漏洞。在macbook上的vscode配置codeql。
探索 VSCode-CodeQL: 提升代码安全性的智能工具
最新发布
gitblog_00029的博客
04-27 268
探索 VSCode-CodeQL: 提升代码安全性的智能工具 项目地址:https://gitcode.com/github/vscode-codeql VSCode-CodeQL 是一个强大的 Visual Studio Code 扩展,它集成了 GitHub 的 CodeQL 工具,旨在帮助开发者在编码过程中发现潜在的安全漏洞和质量问题。通过使用先进的查询语言,CodeQL 可以深入理解多种编...
白盒代码审计工具——CodeQL安装与使用教程【Linux+Windows】
m0_54129327的博客
12-05 5923
学习CodeQL代码审计工具的总结 CodeQL的安装
CodeQL代码静态污点分析引擎排查漏洞模式
道阻且长,行则将至。
12-25 1783
通过具体的靶场代码示例,介绍如何利用源代码污点分析引擎CodeQL对已知的漏洞模式进行自动化漏洞排查,涉及QL语法和规则编写。
CodeQL与VSCode安装及配置(Mac版)
Ashely的博客
11-02 1356
mac安装vscode及codeql
【作者踩坑总结0错版】vscode配置codeql-MacBook(M1-M2芯片-arm)
Karka_的博客
02-20 2121
最近在弄代码审计,要配置codeql,这工具在国外很流行,但是国内的资料缺非常少,b站的视频讲的太水了,九不搭八,外网的视频又听不太懂,跟着csdn上面其他博主的配置步骤来搞疯狂报错!!!!搞了2天都搞不定,无奈,还是得靠自己来。所以有了这篇文章,跟着我的来,绝对不会出错,如果跟着一步步来还是报错,是兄弟直接来砍我。提示:以下是本篇文章正文内容,下面案例可供参考再接再厉,学好代码审计。文章原创,欢迎转载,请注明文章出处:【作者踩坑总结0错版】vscode配置codeql-MacBook(M1/M2芯片-
本地靶场搭建--常见靶场环境集锦
04-28
靶场集锦包含如下 DVWA、 pikachu、 sqli-labs~old、 sqli-labs-master、 upload-labs、 xsslabs、 XSS测试平台
DVWA-安全测试靶场.zip
02-19
它的主要目标是成为一名安全专家援助法律环境中测试他们的技能和工具,帮助web开发人员更好地理解的过程确保web应用程序和帮助学生和老师了解web应用程序安全性控制教室环境。 DVWA的目的是 实践中一些最常见的...
DVWA-网络安全靶场.zip
02-13
这个靶场运行在web环境下,所以需要先安装web环境。可以使用集成环境安装,比如phpstudy,然后将这个文件解压放到网站根目录下,配置一下配置文件中数据库连接密码,然后在浏览器访问本地web服务即可。
vscode-codeql:Visual Studio Code扩展,为CodeQL添加了丰富的语言支持
03-29
Visual Studio Code的CodeQL 该项目是Visual Studio Code的扩展,它为CodeQL添加了丰富的语言支持。 它用于使用CodeQL在代码库中查找问题。 它主要用TypeScript编写。 该扩展程序已发布。 您可以从下载它。 要查看扩展的最后几个版本中发生了什么更改,请参阅 。 特征 使您能够使用CodeQL查询数据库并发现代码库中的问题。 通过路径查询的结果显示数据流,这对于对安全性结果进行分类至关重要。 提供了一种从大型开源存储库中运行查询的简便方法。 添加了IntelliSense,以支持您编写和编辑自己的CodeQL查询和库文件。 项目目标和范围 该项目将跟踪CodeQL中的新功能开发,并在适当的时候将该功能引入Visual Studio Code体验。 贡献 该项目欢迎捐助。 有关如何构建,安装和贡献的详细信息,请参见 。 执照 V
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
CodeQL笔记之入门简介及其注意点
qq_44029310的博客
10-18 1873
学习利用CodeQL进行Java代码审计。本文内容都是入门知识。
CodeQL安装部署配置扫描Java漏洞使用经验
qq_55839239的博客
08-01 517
可以一次选择一条或者多条规则就行扫描,但是一次性不能超过 20 条规则。点击CodeQL:Run Queries in Selected Files后,弹出一个对话框,选择Yes;在 VSCode 打开扫描规则 CodeQL libraries and queries。选择具体语言的规则进行扫描,例如:java语言的规则。ql后缀的文件是规则扫描文件。2.下载标准的扫描规则CodeQL libraries and queries。设置 CodeQL CLI 可执行文件 codeql.exe 的安装路径。
CodeQL 安装与配置体验
问题很多的小明
10-06 864
学习CodeQL-安装与配置
lombok与jdk版本兼容性问题报错解决
热门推荐
JustCode的博客
01-10 1万+
前言 现在已经出了jdk17了,项目中还在使用jdk1.8 更新jdk为17时,发现编译代码出现这样的错误: [ERROR] Failed to execute goal org.apache.maven.plugins:maven-compiler-plugin:3.7.0:compile (default-compile) on project call-common: Fatal error compiling: java.lang.IllegalAccessErro r: class lombok.
vscode代码库登录配置_代码分析平台CodeQL学习手记(十二)
weixin_39967996的博客
11-25 962
代码分析平台CodeQL入门(一)代码分析平台CodeQL学习手记(二)代码分析平台CodeQL学习手记(三)代码分析平台CodeQL学习手记(四)代码分析平台CodeQL学习手记(五)代码分析平台CodeQL学习手记(六)代码分析平台CodeQL学习手记(七)代码分析平台CodeQL学习手记(八)代码分析平台CodeQL学习手记(九)代码分析平台CodeQL学习手记(十)代码分析平台C...
sqli-labs注入靶场搭建
09-25
sqli-labs是一个用来学习sql注入的环境。搭建sqli-labs注入靶场可以按照以下步骤进行操作: 1. 准备软件:首先,你需要准备一个支持PHP和MySQL的服务器环境,例如Apache服务器、PHP解释器和MySQL数据库。 2. 下载sqli-labs:你可以从官方网站或代码托管平台上下载sqli-labs的压缩包。 3. 解压缩sqli-labs:将下载的压缩包解压到服务器环境的Web目录中,确保解压后的文件夹名为"sqli-labs"。 4. 配置数据库:创建一个MySQL数据库,并将数据库连接配置信息写入sqli-labs的配置文件中。 5. 设置权限:确保Web服务器对sqli-labs文件夹及其内容具有读写权限。 6. 访问sqli-labs:通过浏览器访问sqli-labs的URL,例如"http://localhost/sqli-labs",应该能够看到sqli-labs的主界面。 以上是基本的sqli-labs注入靶场搭建的步骤。你可以根据自己的环境进行相应的配置和调整。如果遇到问题,可以参考sqli-labs的文档或寻求相关的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值