Flawfinder的安装及使用

最新推荐文章于 2023-06-05 10:01:12 发布
最新推荐文章于 2023-06-05 10:01:12 发布
阅读量4.5k 收藏 7
点赞数 1
分类专栏: 静态分析 漏洞检测 文章标签: 静态分析 漏洞检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013648063/article/details/126201609
版权

工具源码位于:https://github.com/david-a-wheeler/flawfinder

安装

pip安装即可

pip install flawfinder

安装完成后,输入 flawfinder -h 看看有没有提示帮助信息,有的话就成功了。

如果在pip安装过程中,出现下图所示的warning。

可能需要设置下环境变量。具体可以参考以下链接:

https://blog.csdn.net/White_Idiot/article/details/78253004

使用

直接输入下面命令即可对代码进行静态分析。

flawfinder [要测试的文件目录]

如果一切正常的话,应该会出现类似下面的结果。

...
FINAL RESULTS:
...
./repo/pngwutil.c:1547:  [1] (buffer) strlen:
  Does not handle strings that are not \0-terminated; if given one it may
  perform an over-read (it could cause a crash if unprotected) (CWE-126).
./repo/pngwutil.c:1602:  [1] (buffer) strlen:
  Does not handle strings that are not \0-terminated; if given one it may
  perform an over-read (it could cause a crash if unprotected) (CWE-126).
./repo/pngwutil.c:1670:  [1] (buffer) strlen:
  Does not handle strings that are not \0-terminated; if given one it may
  perform an over-read (it could cause a crash if unprotected) (CWE-126).
./repo/pngwutil.c:1672:  [1] (buffer) strlen:
  Does not handle strings that are not \0-terminated; if given one it may
  perform an over-read (it could cause a crash if unprotected) (CWE-126).
./repo/pngwutil.c:1686:  [1] (buffer) strlen:
  Does not handle strings that are not \0-terminated; if given one it may
  perform an over-read (it could cause a crash if unprotected) (CWE-126).
./repo/pngwutil.c:1768:  [1] (buffer) strlen:
  Does not handle strings that are not \0-terminated; if given one it may
  perform an over-read (it could cause a crash if unprotected) (CWE-126).
./repo/pngwutil.c:1780:  [1] (buffer) strlen:
  Does not handle strings that are not \0-terminated; if given one it may
  perform an over-read (it could cause a crash if unprotected) (CWE-126).
./repo/pngwutil.c:1817:  [1] (buffer) strlen:
  Does not handle strings that are not \0-terminated; if given one it may
  perform an over-read (it could cause a crash if unprotected) (CWE-126).
./repo/pngwutil.c:1818:  [1] (buffer) strlen:
  Does not handle strings that are not \0-terminated; if given one it may
  perform an over-read (it could cause a crash if unprotected) (CWE-126).


ANALYSIS SUMMARY:

Hits = 545
Lines analyzed = 95250 in approximately 1.01 seconds (94739 lines/second)
Physical Source Lines of Code (SLOC) = 62997
Hits@level = [0] 718 [1]  96 [2] 304 [3]   9 [4] 136 [5]   0
Hits@level+ = [0+] 1263 [1+] 545 [2+] 449 [3+] 145 [4+] 136 [5+]   0
Hits/KSLOC@level+ = [0+] 20.0486 [1+] 8.65121 [2+] 7.12732 [3+] 2.3017 [4+] 2.15883 [5+]   0
Dot directories skipped = 12 (--followdotdir overrides)
Minimum risk level = 1

Not every hit is necessarily a security vulnerability.
You can inhibit a report by adding a comment in this form:
// flawfinder: ignore
Make *sure* it's a false positive!
You can use the option --neverignore to show these.

There may be other security vulnerabilities; review your code!
See 'Secure Programming HOWTO'
(https://dwheeler.com/secure-programs) for more information.

可以发现输出的结果在命令行终端显示,不太方便。flawfinder也提供了几种输出格式。

比如,用html参数将结果输出为html格式

flawfinder --quiet --html ./repo/ > results.html

运行以上命令的结果为:

也可以输出为sarif格式。

flawfinder --quiet --sarif ./repo/ > results.sarif

更多的格式可以查看他的官方手册:http://dwheeler.com/flawfinder/flawfinder.pdf

flawfinder支持以下的漏洞类型:(其中带*的表示也是CWE/SANS榜单上的TOP 25)

• CWE-20: Improper Input Validation
• CWE-22: Improper Limitation of a Pathname to a Restricted Directory (‘‘Path Traversal’’)
• CWE-78: Improper Neutralization of Special Elements used in an OS Command (‘‘OS Command Injection’’)*
• CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer (a parent of
CWE-120*, so this is shown as CWE-119!/CWE-120)
• CWE-120: Buffer Copy without Checking Size of Input (‘‘Classic Buffer Overflow’’)*
• CWE-126: Buffer Over-read
• CWE-134: Uncontrolled Format String*
• CWE-190: Integer Overflow or Wraparound*
• CWE-250: Execution with Unnecessary Privileges
• CWE-327: Use of a Broken or Risky Cryptographic Algorithm*
• CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization (‘‘Race Condition’’)
• CWE-377: Insecure Temporary File
• CWE-676: Use of Potentially Dangerous Function*

• CWE-732: Incorrect Permission Assignment for Critical Resource*
• CWE-785: Use of Path Manipulation Function without Maximum-sized Buffer (child of CWE-120*, so
this is shown as CWE-120/CWE-785)
• CWE-807: Reliance on Untrusted Inputs in a Security Decision*
• CWE-829: Inclusion of Functionality from Untrusted Control Sphere*

如果要检测某种类型的漏洞,可以加上regex参数

flawfinder --quiet --sarif --regex "CWE-120|CWE-126" ./repo/ > results.sarif

遇到的问题

问题1:在使用过程中报如下的编码错误。

Error: encoding error in ./contrib/gregbook/rpng-x.c
'utf-8' codec can't decode byte 0xe7 in position 1146: invalid continuation byte

Python3 requires input character data to be perfectly encoded;
it also requires perfectly correct system encoding settings.
Unfortunately, your data and/or system settings are not.
Here are some options:
1. Run: PYTHONUTF8=0 python3 flawfinder
   if your system and and data are all properly set up for
   a non-UTF-8 encoding.
2. Run: PYTHONUTF8=0 LC_ALL=C.ISO-2022 python3 flawfinder
   if your data has a specific encoding such as ISO-2022
   (replace "ISO-2022" with the name of your encoding,
   and optionally replace "C" with your native language).
3. Run: PYTHONUTF8=0 LC_ALL=C.ISO-8859-1 python3 flawfinder
   if your data has an unknown or inconsistent encoding
   (ISO-8859-1 encoders normally allow anything).
4. Convert all your source code to the UTF-8 encoding.
   The system program "iconv" or Python program "cvt2utf" can
   do this (for cvt2utf, you can use "pip install cvt2utf").
5. Run: python2 flawfinder
   (That is, use Python 2 instead of Python 3).

解决:将源代码转换为utf-8编码即可。

贴心的作者给出了提示,可以用cvt2utf工具去做转换。工具的github链接:https://github.com/x1angli/cvt2utf

依次输入下面的命令。

pip install cvt2utf # 安装cvt2utf
cvt2utf convert ./ -b -i c cpp -x txt # 将cpp和c文件转换为utf-8编码

此时我再用flawfinder检测就没有报错了。

如果不需要备份,可以执行下面的命令删除编码前的备份。

cvt2utf cleanbak ./

题外话,开发这个工具的开发者的网站上有很多干货,可以去搜刮搜刮(😀)
https://dwheeler.com/

破落之实
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
flawfinder
06-26
linux下的工具,对原代码扫描,检测代码中是否有缓冲区漏洞的工具
推荐一款免费开源的代码质量分析工具
jianqiang.xue
06-03 1198
Flawfinder是一款开源的关于C/C++静态扫描分析工具,其根据内部字典数据库进行静态搜索,匹配简单的缺陷与漏洞flawfinder工具不需要编译C/C++代码,可以直接进行扫描分析。简单快速,最大的有点就是免费,不需要编译。flawfinder工具可以在官网进行下载。
flawfinder使用说明(中文).pdf
06-03
探伤者附带了一本简单的手册,描述了如何使用它。 如果您不确定要冒险 安装程序,你可以看看 首先是文档,其中讨论了如何使用它和 它如何支持 CWE。 该文档以以下格式提供: 这是探伤仪的主要网站,一个简单的程序,用于检查 C/C++源代码并报告可能的安全漏洞(“缺陷”) 按风险级别排序。 这对于快速查找和删除至少一些非常有用 程序广泛发布之前的潜在安全问题 向公众开放。 任何人都可以免费使用,并可作为开源软件(OSS)使用。 参见“探伤仪如何工作? 下面,有关其工作原理的更多信息。 其他人在探伤仪方面取得了成功;请参阅推荐和评论/论文了解更多信息。 如果需要更多详细信息,可以跳到文档。 探伤仪经过专门设计,易于安装使用。 你可以安装Python并使用pip,如下所示:
静态源代码安全检测工具比较
04-21
根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非网络层。因此,应用软件的自身的安全问题是我们信息安全领域最为关心的问题,也是我们面临的一个新的领域,需要我们所有的在应用软件开发和管理的各个层面的成员共同的努力来完成。越来越多的安全产品厂商也已经在考虑关注软件开发的整个流程,将安全检测与监测融入需求分析、概要设计、详细设计、编码、测试等各个阶段以全面的保证应用安全。
sonar-tools:有用的SonarQube工具进行运行分析
05-16
声纳工具 有用的SonarQube工具进行运行分析 探伤仪 报告了发现程序的问题导入SonarQube。 用法 创建规则存储库: ./ar.flawfinder.build_rules.py ~/bin/flawfinder > flawfinder.rules.xml 导入SonarQube的插件Web UI配置,代码分析子类别,外部规则。 重新启动SonarQube。 创建报告: ~/bin/flawfinder -DQS /path/to/source | ./ar.flawfinder.build_report.py > /path/to/flawfinder.report.xml 使用sonar.cxx.other.reportPath属性设置为/path/to/flawfinder.report.xml来运行分析
4、FlawFInder和cppcheck的使用
qq_55202378的博客
02-21 763
静态分析 Flawfinder
Flawfinder使用及其在Python2和Python3环境下对代码进行扫描方法
huanxiajioabu的博客
06-05 454
由于历史原因,Python有两个大的版本分支,Python2和Python3,又由于一些库只支持某个版本分支,所以需要在电脑上同时安装Python2和Python3。对于Flawfinder而言,其是基于 Python2 实现的一款工具,因此其安装及执行均需要在Python2环境下进行,但目前开发中更多地是在使用Python3进行软件开发,所以需要对两个版本的Python进行兼容。在这种方式下,对于Python扩展包的安装也可以进行区分开来,在各自的环境下进行安装。2. Flawfinder安装
Flawfinder开源C/C++静态扫描分析工具安装使用
热门推荐
liweibin812的博客
11-21 1万+
1.flawfinder的介绍 Flawfinder是一款开源的关于C/C++静态扫描分析工具,其根据内部字典数据库进行静态搜索,匹配简单的缺陷与漏洞flawfinder工具不需要编译C/C++代码,可以直接进行扫描分析。简单快速,最大的有点就是免费,不需要编译。flawfinder工具可以在官网进行下载。 https://dwheeler.com/flawfinder/#downloadi...
安全漏洞--C/C++代码安全漏洞审计技术学习分享
关注互联网安全的小虾米一枚
10-18 8236
0x01 简介 代码审计,大家估计见到最多的一般是web程序的代码审计。然而c/c++这种语言的代码审计估计就很少了。 今天我们要来学习一下,工欲善其事必先利其器,今天介绍一款审计的利器Flawfinder(当然同类的还有很多工具,比如 RATS,RIPS,VCG,Fortify SCA,GOLD,YASCA等等)。该工具我搭建运行在ubuntu16.0.4LTS系统之上。 F
flawfinder:一种用于在 CC++ 源代码中查找漏洞静态分析工具
08-05
关于 这是“探伤者”。 Flawfinder 是一个简单的程序,可以扫描 C/C++ 源代码并报告潜在的安全漏洞。 它可以是检查软件漏洞的有用工具,也可以更广泛地作为对静态源代码分析工具的简单介绍。 它的设计易于安装使用Flawfinder 支持 Common Weakness Enumeration (CWE) 并正式与 CWE 兼容。 有关更多信息,请参阅 平台 Flawfinder 旨在作为命令行工具在 Unix/Linux/POSIX 系统(包括 Cygwin、基于 Linux 的系统、MacOS 和各种 BSD)上使用。 它需要 Python 2.7 或 Python 3。 安装 如果你只是想使用它,你可以使用 Python 的“pip”或系统的包管理器(flawfinder 有许多系统的包)安装缺陷查找器。 它还支持按照通常的make install源安装约定轻松安装
Mac Jenkins安装
01-13
mac Os下通过Brew工具安装Jenkins,以及Jenkins的实际操作
docker-flawfinder:Flawfinder dockerized ..
04-30
docker-flawfinder ( v2.0.6 )被docker化为 。 用法 建造。 ❯ docker build -t flawfinder:latest . 打印帮助。 ❯ docker run --rm -it flawfinder:latest
Python库 | flawfinder-2.0.4-py2.py3-none-any.whl
04-22
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:flawfinder-2.0.4-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
linux代码静态扫描工具,c/c++代码静态扫描安全编程工具flawfinder
weixin_33465310的博客
05-11 735
下载:是一个用python编写的检查c/c++源代码的潜在安全编程风险,基于安全编程模式匹配。环境python2.5上对linux c++工程上试验。1设置环境变量export PATH=$PATH:~/flawfinder-1.27/2[liangjz@b2b_plat_1367 hummock_trunk]$ flawfinder--minlevel=4--html--followdotdir...
漫谈C语言及如何学习C语言
Lǚzūη's 十字路口
07-09 1484
云风最近写了一篇博客《C语言的前世今生》。作为长期使用C语言开发网络游戏服务器的程序员,云风是有理由写这样一篇文字,不过还是感觉谈的不够深入,C语言在业界使用的现状没有怎么描写,有些意犹未尽。 在这里想比较系统的谈谈个人对C语言学习方式方法的理解。分别按照书籍、实验环境搭建、网络资源来分别介绍,希望能写的比较完整全面一些,给想学习C语言的朋友一个有价值的参考。 为什么要学习C语言? ...
CppCheck开源C/C++静态分析工具安装使用教程
liweibin812的博客
11-22 4766
最近由于C/C++项目代码审计,有时候开发不给相关的依赖库,是件很蛋疼的事情。因为无法使用fortify SCA进行编译。从而就无法扫描分析漏洞缺陷。依靠人工审计,简直是一件很崩溃的事情,对我一个做java代码审计的人来说,不怎么懂C/C++,更别说找什么溢出,内存泄漏,危险函数,越界,空指针......,那就是一场灾难。 所以我就在想能不能找到一款开源的并且不需要编译源代码的开源静态分析工具,...
Flawfinder--检测源代码中的危险函数
子曰小玖的博客
09-07 2227
This is the main web site forflawfinder, a simple program that examines C/C++ source code and reports possible security weaknesses (“flaws”) sorted by risk level. It’s very useful for quickly finding and removing at least some potential security problems..
在windows系统上安装flowforge
知无涯
04-06 3570
前面两章都介绍了flowforge的起源和特性,并没有将如何使用它,本章节开始,将开始介绍它的使用。本篇主要讲解在windows系统上如何安装flowforge。总体第一次的安装,注册,是很顺畅的。就像当初自己玩node-red那样顺畅。后面讲解更多功能。欢迎关注。
用joern画AST、CFG、CDG、DDG、PDG、CPG
^_^
01-07 8636
之前写了一点joern的博客,发现很多人在问我怎么画图。确实,用joern这个工具的话,画代码属性图是这个工具的亮点了。 这篇文章怎么说呢,也可以看作是对官方文档的翻译和实现吧。 能搜到这篇文章,想必应该是搜到上面的一个图的名字进来的。就不详细介绍每个图了,就简单介绍下缩写的含义。 AST:abstract syntax tree CFG:control flow graph CDG:Control Dependence Graphs DDG:Data Dependence Graphs PDG:Prog
could not find csparse (missing: csparse_include_dir csparse_library)
最新发布
10-25
错误提示 "could not find csparse (missing: csparse_include_dir csparse_library)" 意味着在您的环境中缺少 csparse 库或相关的头文件。 这个错误通常发生在您尝试编译或运行需要 csparse 的程序时。csparse 是一个稀疏矩阵的库,被广泛用于线性代数和数值计算领域。 为了解决这个问题,您可以执行以下步骤: 1. 确保您已经正确安装了 csparse 库。您可以从官方网站或其他可信来源下载并安装 csparse。 2. 检查 csparse 的安装路径,并确保它已正确添加到系统的库路径中。您可以在操作系统的环境变量或编译器的配置中添加库路径。 3. 检查 csparse 的头文件路径,并将其添加到系统的头文件搜索路径中。同样,您可以在操作系统的环境变量或编译器的配置中添加头文件路径。 4. 如果您使用的是 CMake 或类似的构建系统,检查您的配置文件是否正确设置了 csparse 的路径。您可能需要修改 CMakeLists.txt 或其他编译配置文件。 5. 在编译或运行时,确保正确链接 csparse 库。这通常需要在编译命令或链接配置中添加 -lcsparse。 通过执行上述步骤,您应该能够解决 "could not find csparse (missing: csparse_include_dir csparse_library)" 的错误,并成功地编译或运行需要 csparse 的程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值