写在最前,Cobra-W就像手中的一把剑,这把剑好不好用是Cobra-W的事,如何使用是你的事,希望能有更多的人参与到Cobra-W的变化中来...请使用python3.6 运行该工具,已停止维护python2.7环境眼镜蛇GitHub(预)发布 执照 建立状态 介绍Cobra是一种源代码安全审计工具,支持检测多种开发语言源代码中的大部分显着的安全问题和漏洞。https ://github.com/wufeifei/cobraCobra-W是从Cobra2.0发展而来的分支,将工具重心从重新的发现威胁转变为提高发现突破的准确率以及精度。特色与其他代码审核索引:静态分析,环境依赖小。语义分析,对防御有效性判断程度更深。多种语言支持。开源python实现,更容易二次开发。与眼镜蛇深度重构AST,大幅度减少扩展误报率。提供更简便的从代码尺度定制审计思路的规则书写方式,更容易白帽子使用,便于扩展。灵活的api重构,支持windows,linux等多平台。多重语义解析,函数回溯,秘密机制,以及更多机制解释语义分析。新增javascript语义分析,用于扫描包含js相关代码。去做改写grep以及find,提供更好的有意义的支持消除不符合白帽子审计习惯的部分模式以及相关冗余代码制定规则规则方式,改变更容易针对定制的方式(有待进一步优化)重建AST递归回溯变量递归回溯自定义函数多级函数调用自定义类调用未知语法待解析添加疑似分辨率分级,部分回溯存在问题但是不能回溯到可控变量的裂缝,通过疑似突破的方式展示。添加关于javascript的静态分析完成针对有关于javascript的多种特殊问题适应关于html中内联js的扫描添加区分前端js与nodejs功能,并为node_js添加专门的扫描未知语法待解析完成关于java的静态分析更新日志changelog.md自述文件cobra-w├─cobra│ ├─core_engine│ └─internal_defines├─docs├─logs├─result├─rules│ └─php├─tests ├─ast │ └─test ├─examples └─vulnerabilities眼镜蛇:核心代码目录core_engine核心语义分析代码internal_defines部分内置变量docs:cobra-W文档目录日志:扫描日志储存位置结果:扫描结果储存位置(默认为.csv)规则目录测试:测试代码目录安装首先需要安装依赖pip install -r requirements.txt然后扫描测试样例查看结果python cobra.py -t ./tests/vulnerabilities/开发文档开发人员贡献者感谢如下贡献者对本工具发展过程中的贡献:Knownsec 404团队LoRexxar北邮天枢Sissel【文章来源】:
https://github.com/LoRexxar/Cobra-W
推荐文章++++
*ApplicationInspector:一款功能强大的软件源代码分析与审计工具
*Pylama python和javascript的代码审计工具
*ScoutSuite:一款针对云集群环境的安全审计工具
2416
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
