代码审计[findbugs插件介绍]

最新推荐文章于 2024-05-13 17:04:37 发布
最新推荐文章于 2024-05-13 17:04:37 发布
阅读量897 收藏
点赞数
分类专栏: 杂项
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39325340/article/details/80775705
版权

插件文件:sonar-findbugs-plugin-3.7.0.jar

findbugs.xml  主配置文件:代码规则分析

<Detector class="com.h3xstream.findsecbugs.crypto.DesUsageDetector" reports="DES_USAGE"/>
# class="com.h3xstream.findsecbugs.crypto.DesUsageDetector"  引用的数据包
# reports="DES_USAGE" 对应规则定义的key

org.sonar.plugins.findbugs.rules.FindSecurityBugsRulesDefinition 规则对应说明配置文件

package org.sonar.plugins.findbugs.rules;

import org.sonar.api.server.rule.RulesDefinition;
import org.sonar.api.server.rule.RulesDefinition.Context;
import org.sonar.api.server.rule.RulesDefinition.NewRepository;
import org.sonar.api.server.rule.RulesDefinitionXmlLoader;

public final class FindSecurityBugsRulesDefinition
  implements RulesDefinition
{
  public static final String REPOSITORY_KEY = "findsecbugs";            #资源库key
  public static final String REPOSITORY_NAME = "Find Security Bugs";    #资源库名称
  public static final int RULE_COUNT = 104;
  
  public void define(RulesDefinition.Context context)
  {
    RulesDefinition.NewRepository repository = context.createRepository("findsecbugs", "java").setName("Find Security Bugs");
    
    RulesDefinitionXmlLoader ruleLoader = new RulesDefinitionXmlLoader();
    ruleLoader.load(repository, FindSecurityBugsRulesDefinition.class.getResourceAsStream("/org/sonar/plugins/findbugs/rules-findsecbugs.xml"), "UTF-8");
    repository.done();
  }
}


org.sonar.plugins.findbugs.rules-findsebus.xml  # 规则对应说明配置文件

 

<rule key='DES_USAGE' priority='MAJOR'>      
    <name>Security - DES/DESede is insecure</name>
    <configKey>DES_USAGE</configKey>
    <description><p>
DES and DESede (3DES) are not considered strong ciphers for modern applications. Currently, NIST recommends the 
usage of AES block ciphers instead of DES/3DES.
</p>
<p>
    <b>Example weak code:</b>
<pre>Cipher c = Cipher.getInstance("DESede/ECB/PKCS5Padding");
c.init(Cipher.ENCRYPT_MODE, k, iv);
byte[] cipherText = c.doFinal(plainText);</pre>
</p>
<p>
    <b>Example solution:</b>
    <pre>Cipher c = Cipher.getInstance("AES/GCM/NoPadding");
c.init(Cipher.ENCRYPT_MODE, k, iv);
byte[] cipherText = c.doFinal(plainText);</pre>
</p>
<br/>
<p>
<b>References</b><br/>
<a href="http://www.nist.gov/itl/fips/060205_des.cfm">NIST Withdraws Outdated Data Encryption Standard</a><br/>
<a href="http://cwe.mitre.org/data/definitions/326.html">CWE-326: Inadequate Encryption Strength</a>
</p></description>
    <tag>owasp-a6</tag>
    <tag>cryptography</tag>
    <tag>cwe</tag>
    <tag>security</tag>
 </rule>


 

_0x00
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDEA SpotBugs代码安全审计插件
洋洋的小黑屋
04-18 1231
IDEA SpotBugs代码安全审计插件 在寻找idea代码审计插件的时候,发现Findbugs已经停止更新,无法在idea2020.01版本运行,由此找到SpotBugs SpotBugs介绍 SpotBugs是Findbugs的继任者(Findbugs已经于2016年后不再维护),用于对代码进行静态分析,查找相关的漏洞。 安装使用 在 Plugins 选项搜索 SpotBugs ...
Find-Sec-Bugs 静态代码安全审计安装使用手册
天天water的专栏
10-16 6271
目录 1. 前言 2. 插件简介 3. 插件安装扫描配置介绍  3.1 IntelliJ IDEA 配置介绍 3.1.1 插件安装 3.1.2 添加漏洞规则库 3.1.3 扫描配置 3.1.4 开始源码扫描 3.1.5 扫描结果  3.2 Eclipse 配置介绍 3.2.1 插件安装 3.2.2 开始源码扫描 3.2.3 扫描结果 4. 总结 参考原文地址:http...
Java Aes 加密 (AES/GCM/NoPadding方式)
最新发布
uncleweiwei的博客
05-13 403
这里用的初始化向量是固定的数组转换的,实际生产中,也可以使用随机数组进行加密解密,不过加密解密使用的初始化向量一定要相同。所以此时需要在数据库中存储需要加密解密的同时也要存储初始化向量数据。
Sonar集成插件FindBugs---Sona离线安装插件FindBugs
q1335882的专栏
07-03 4536
安装插件 本人安装时候遇到问题,无法下载成功,那怎么做呢? 离线安装吧。。。 插件git地址:https://github.com/spotbugs/sonar-findbugs/ 下载后,解压,目录路径下 执行:mvn clean install 打包成功后 将sonar-findbugs-plugin.jar 放入**\sonarqube-7.8\extensions...
静态代码审计工具Cobra/Cobra-W/find-sec-bugs
公众号shadow sock7
02-03 4288
之前童话师傅写过一篇Cobra静态代码审计工具的源码分析,所以先看看这个工具吧。 源码在: https://github.com/WhaleShark-Team/cobra 后来还有Lo写的一个改版: https://github.com/LoRexxar/Cobra-W 都试试吧。 ...
阿里代码审计插件
03-26
插件,阿里审查代码插件插件插件插件插件插件
代码检查工具findbugs插件
01-14
本文将详细介绍如何在Eclipse集成环境中安装和使用FindBugs插件,以及该插件的功能和优势。 一、FindBugs概述 FindBugs是由University of Maryland开发的一款静态分析工具,它通过分析字节码而非源代码来寻找可能...
findbugs 代码检查 eclipse插件 3.0.0版本
01-18
最新版下载地址:http://sourceforge.net/projects/findbugs/files/findbugs/3.0.0/ http://sourceforge.jp/projects/sfnet_findbugs/downloads/findbugs eclipse plugin/3.0.0...错误代码中英对照及修改方案见我的博客
findbugs eclipse插件
07-22
**findbugs eclipse插件** 是一个非常重要的工具,主要用于帮助开发者在Eclipse集成开发环境中发现潜在的代码问题和错误。FindBugs是一款静态代码分析工具,它可以分析Java代码,找出可能存在的bug、不良编程习惯...
findBugs插件 正式版eclipse,附带说明使用以及下载好的附件,直接替换即可完成
04-20
一款EcliPSe插件,能够发现java代码中的bug,针对各种问题,它并且提供了简单的修改意见供我们重构时进行参考; 通过使用它,可以一定程度上降低我们code review的工作量,并且会提高review效率。 通过findbugs找到...
Eclipse 5个有用的插件【代码质量分析】
smshuxue的专栏
06-06 1837
在 Eclipse 中使用 5 个有用的插件来自动化代码质量分析 如果能在构建代码前发现代码中潜在的问题会怎么样呢?很有趣的是,Eclipse 插件中就有这样的工具,比如 JDepend 和 CheckStyle,它们能帮您在软件问题暴露前发现这些问题。 开发软件时,我的主要目标之一是:要么防止将缺陷引入代码库,要么限制缺陷的生存期;换言之,要尽早找到缺陷。很显然,越是了解如何编写更好的
java代码检查工具 findBugs eclipse插件1.39最新
04-23
FindBugs 是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。不是通过分析类文件的形式或结构来确定程序的意图,而是通常使用 Visitor 模式(请参阅 参考资料)。图 1 显示了分析一个匿名项目的结果(为防止可怕的犯罪,这里不给出它的名字):   在FindBugs的GUI中,需要先选择待扫描的.class文件(FindBugs其实就是对编译后的class进行扫描,藉以发现一些隐藏的bug。)。如果你拥有这些.class档对应的源文件,可把这些.java文件再选上,这样便可以从稍后得出的报告中快捷的定位到出问题的代码上面。此外,还可以选上工程所使用的library,这样似乎可以帮助FindBugs做一些高阶的检查,藉以发现一些更深层的bug。   选定了以上各项后,便可以开始检测了。检测的过程可能会花好几分钟,具体视工程的规模而定。检测完毕可生成一份详细的报告,藉由这份报告,可以发现许多代码中间潜在的bug。比较典型的,如引用了空指针(null pointer dereference), 特定的资源(db connection)未关闭,等等。如果用人工检查的方式,这些bug可能很难才会被发现,或许永远也无法发现,直到运行时发作…当除掉了这些典型的(classic) bug后,可以确信的是,我们的系统稳定度将会上一个新的台阶。
findsecbugs
07-24
findsecbugs为java 的代码静态扫描插件,可以扫描出代码中存在的问题
自定义SonarQube Java规则
程军高的专栏
11-06 2479
重写Sonar PMD插件定义我们自己的Java代码扫描规则
SonarQube的使用-集成Findbugs
weixin_44689968的博客
04-08 4035
一丶SonarQube简介 1.sonar是什么 Sonar是一个用于代码质量管理的开源平台,用于管理代码的质量,通过插件形式可以支持二十几种语言的代码质量检测,通过多个维度的检查了快速定位代码中潜在的或者明显的错误。 2. SonarQube与Sonar SonarQube是sonar的服务端,相当于一个web服务器中的tomcat,用来发布应用,在线浏览分析等。 二丶安装 基于Window10+Sonqube7.6+Mysql5.7+SonarScanner4.2+JDK1.8 1.官网下
面向对象之多态--什么是多态?多态思想?存在的前提?多态运用
weixin_44268113的博客
10-11 409
多态        同一操作作用与不同类的实例,将产生不同的执行结果,即不同类的对象收到相同的消息时,将得到不同的结果。        例如吃食物这个操作作用于狗和猫,将产生不同的结果,狗吃骨头,猫吃鱼。 存在的前提        继承      &n
Java代码审计手册(2)
kudos123的博客
12-23 1859
此文为翻译文章(可能会出现错误),由于原地址被打入xss,所以保存留记录 目录 潜在的XPath注入(XPATH_INJECTION) 找到Struts 1端点(STRUTS1_ENDPOINT) 找到Struts 2端点(STRUTS2_ENDPOINT) 找到了Spring端点(SPRING_ENDPOINT) 禁用Spring CSRF保护(SPRING_CSRF_PROTECTION_DISABLED) Spring CSRF无限制请求映射(SPRING_CSRF_UNRESTRICTED_RE.
【搬运向】Findbugs及其扩展findsecbugs在eclipse中的安装及使用
aoxigong8501的博客
01-29 307
偶然间发现的东西Findbugs,java方面的一个基于BugPatterns概念,查找代码(.class文件)中的潜在bug工具。 findsecbugs是findbugs的一个扩展插件,专门发现代码中安全方面的漏洞,当前版本1.4.1,主页地址: http://h3xstream.github.io/find-sec-bugs/ 由于本人使用eclipse,发现这个...
FindSecBugs支持的检测规则
manok的专栏
12-03 424
很多SAST集成了FindSecBugs这个开源工具,其好处是直接对Class文件进行检测,也就是直接检测二进制问题,可以直接检测war、jar,还是非常方便的。虽然误报率较高,但是这些检测出来的安全漏洞很多是安全从业人员耳熟能详的漏洞,所以,可能感觉还不错的。
idea findbugs 插件
04-18
Idea FindBugs插件是一个用于静态代码分析的工具,它可以帮助开发人员在编码过程中发现潜在的bug和代码质量问题。该插件基于FindBugs项目,可以与IntelliJ IDEA集成,提供了一系列功能来检测和修复代码中的问题。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值