【软件安全实验】使用Find Security Bugs工具静态分析WebGoat

最新推荐文章于 2024-05-30 14:41:17 发布
最新推荐文章于 2024-05-30 14:41:17 发布
阅读量585 收藏 9
点赞数 10
分类专栏: 实验 文章标签: 安全 静态分析 WebGoat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45858191/article/details/135096612
版权

文章目录

实验要求

用Find Security Bugs(http://find-sec-bugs.github.io)工具静态分析WebGoat。WebGoat是OWASP组织研制出的用于进行Web漏洞实验的应用平台,官方网址是http:/www.owasp.org.cn/owasp-project/webscan-platform。WebGoat运行在带有Java虚拟
机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问
控制、线程安全、操作隐藏字段、操纵参数、弱会话Cookie、SQL盲注、数字型SQL注入、
字符串型SQL注入和Wb服务等。完成实验报告。

实验步骤

一、在IntelliJ上安装插件配置规则库

1、下载安全漏洞规则库Find-Sec-Bugs。
下载网址:https://find-sec-bugs.github.io/download.htm
  Find-Sec-Bugs 是扫描插件 FindBugs的 Java 安全漏洞规则扩展库,它支持在多种主流 IDE 环境进行安装:Eclipse, IntelliJ, Android Studio 和 NetBeans。只扫描 Java 代码,支持主流的 Java 开发框架,比如 Spring-MVC, Struts 等。通过扫描源代码,能够发现131种(version 1.9.0)不同的安全漏洞类型。详见Find-sec-bugs官网:http://find-sec-bugs.github.io/bugs.htm
在这里插入图片描述

2、安装SpotBugs插件并重启IDE。
在这里插入图片描述

3、添加漏洞规则库
在这里插入图片描述

4、设置
在这里插入图片描述

二、下载WebGoat源代码

1、在如下界面选择源代码压缩包下载。
在这里插入图片描述

三、Find Security Bugs工具静态分析WebGoat

1、使用IntelliJ Idea打开WebGoat源代码项目,选择分析代码

在这里插入图片描述
在这里插入图片描述
2、分析结果展示
在这里插入图片描述

生生不息~
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
eclipse find bugs 插件使用
12-09
eclipse find bugs 插件使用
find_bugs 工具
04-25
安装findbugs插件,及插件说明,经过测试。值得下载,超好用
Find-Sec-Bugs 静态代码安全审计安装使用手册
天天water的专栏
10-16 6245
目录 1. 前言 2. 插件简介 3. 插件安装扫描配置介绍  3.1 IntelliJ IDEA 配置介绍 3.1.1 插件安装 3.1.2 添加漏洞规则库 3.1.3 扫描配置 3.1.4 开始源码扫描 3.1.5 扫描结果  3.2 Eclipse 配置介绍 3.2.1 插件安装 3.2.2 开始源码扫描 3.2.3 扫描结果 4. 总结 参考原文地址:http...
探索安全漏洞的利器:Find Security Bugs插件
gitblog_00014的博客
03-17 453
探索安全漏洞的利器:Find Security Bugs插件 在软件开发过程中,保障代码的安全性是至关重要的。然而,在复杂庞大的代码库中寻找潜在的安全漏洞并非易事。幸运的是,有一个强大的工具可以帮助我们解决这个问题——Find Security Bugs。 什么是Find Security Bugs? Find Security Bugs是一款用于检测Java应用程序中常见安全漏洞的静态分析插件。...
[课业] | 软件安全 | 使用Find Security Bugs工具静态分析WebGoat
RussellHan的博客
01-23 1200
使用Find Security Bugs工具静态分析WebGoat
Web安全工具大集合
guxiaoguo的博客
12-26 4414
Test sites / testing grounds SPI Dynamics (live) – http://zero.webappsecurity.com/ Cenzic (live) – http://crackme.cenzic.com/ Watchfire (live) – http://demo.testfire.net/ Acunetix (live) – http:
要学习使用安全工具
cnbird's blog
12-20 8226
要学习使用安全工具
Web安全测试工具大全
johnhuster的专栏
03-03 3233
LiveCDsMonday, January 29, 2007 4:02 PM 828569600 AOC_Labrat-ALPHA-0010.iso -http://www.packetfocus.com/hackos/DVL (Damn Vulnerable Linux) - http://www.damnvulnerablelinux.org/Test sites / testing gro...
Web安全工具大汇聚
lionzl的专栏
04-01 1227
很多,非常多。 Test sites / testing grounds SPI Dynamics (live) – http://zero.webappsecurity.com/ Cenzic (live) – http://crackme.cenzic.com/ Watchfire (live) – http://demo.testfire.net/ Acunetix (li
一些有用的安全工具和链接
tingirl的专栏
11-10 1572
<br />安全工具<br /> Test sites / testing grounds<br /><br /> SPI Dynamics (live) – http://zero.webappsecurity.com/<br /> Cenzic (live) – http://crackme.cenzic.com/<br /> Watchfire (live) – http://demo.testfire.net/<br /> Acunetix (live) – http://testphp.
【转帖】WEB安全工具
tzh2009的专栏
05-22 1862
<br />LiveCDs<br /> Monday, January 29, 2007 4:02 PM 828569600 AOC_Labrat-ALPHA-0010.iso - http://www.packetfocus.com/hackos/<br /> DVL (Damn Vulnerable Linux) - http://www.damnvulnerablelinux.org/<br /><br /><br /> Test sites / testing grounds<br /> S
Find Bugs使用方法
08-25
有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。 Findbugs提供了方便操作的可视化界面,同时也可以作为Eclipse的一个插件来使用,而我们使用得最多的还是作为Eclipse的插件来使用。可以说一般情况...
C++静态代码分析工具PVS-Studio
08-27
PVS-Studio is a tool for detecting bugs and security weaknesses in the source code of programs, written in C, C++, and C#. It works in Windows, Linux, and macOS environment.
软件测试管理为什么Bugs没有被修复?
03-23
管理软件测试管理为什么Bugs没有被修复?近来我遇到越来越多的人对我们会发布还有bug的产品大为惊讶。而让我大吃一惊的是,这些人中还有许多是软件测试人员,我本以为他们应该对此早已经有所了解。建议大家先阅读...
云端数据提取:安全、高效地利用无限资源
最新发布
Shaidou_Data的博客
05-30 640
随着技术的不断进步和安全威胁的不断演变,企业和组织必须持续关注和更新他们的数据处理策略,以应对未来可能出现的新挑战。然而,随着数据的指数级增长,数据的安全性和高效的数据处理成为了企业最为关心的议题之一。在云计算环境中,数据安全面临着多方面的挑战,包括但不限于未经授权的数据访问、数据泄露、以及数据在传输过程中的截取等。数据提取是数据处理流程中的第一步,它涉及从各种源系统中检索所需数据的过程。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 1065
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
富格林:谨防被骗实现安全交易
fgl100的博客
05-30 317
富格林指出,进行现货黄金投资的时候,有不少投资者都会犯下这个危及安全交易的毛病,就是没有合理控制好交易成本。如果投资成本没有控制好,把自己账户资金的全部都放进去,那么一旦逆势波动,就可能会发生爆仓的情况。成本和仓位不混为一谈,有些投资者认为成本和仓位是一样的,但并不是的,成本是投资者,投入多少金额的。如果投资的仓位较大,成本也会大,但是成本大,仓位不一定大,同时大仓位带来的收益与风险是并存的。以上的是富格林分享的控制费用成本的实用方法,有助于帮助投资者通过减少支出,从而增加利润。
介绍几个静态分析工具和动态分析工具
04-20
Sure, I'd be happy to help with that! Here are some examples of static analysis tools and dynamic analysis tools: Static analysis tools: 1. SonarQube: helps to analyze and manage code quality by detecting issues like bugs, vulnerabilities, and code smells. 2. Coverity: a static analysis tool that helps to find defects in code through source code scanning. 3. Pylint: a Python tool that checks for errors and enforces coding standards. Dynamic analysis tools: 1. Wireshark: a network protocol analyzer that captures and displays packet traffic, helping identify problems and troubleshoot issues. 2. Fiddler: a web debugging proxy tool that logs HTTP traffic between a computer and the internet. 3. Postman: an API development and testing tool that allows for easy exploration of APIs and debugging. I hope this helps! Let me know if you have any other questions.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值