python项目代码审计_代码审计工具 Cobra 源码分析(一)

最新推荐文章于 2024-04-24 19:18:02 发布
最新推荐文章于 2024-04-24 19:18:02 发布
阅读量419 收藏
点赞数
文章标签: python项目代码审计

0x00 前言

@0r3ak 师傅向我推荐了一款代码审计工具Cobra(wufeifei/cobra),该工具基于Python开发,可以针对多种语言的源代码安全性评估。

在测试的过程中,总是不得要领,有一些问题不知道怎么解决,都是又很想了解下这款项目的实现原理。

在这一系列的笔记中,将会记录下对 Cobra 的使用体验,以及源码级的分析。

0x01 基础环境

Ubuntu 16.04.3 LTS

Python 2.7.12

Cobra 2.0.0-alpha.5

pdb

0x02 执行流程&关键代码分析

关于 Cobra 的安装,与基本的使用方法在 Cobra 的文档中说的很详细了。我这里就不在赘述。不了解的同学可以在本文的参考链接中获取 Cobra 的文档。

这篇笔记主要记录下,CLI模式下,对某一个文件中代码做安全审计的过程中,相关的函数调用栈,及关键函数的原理分析。其间会通过pdb动态调试结合静态代码分析以及项目的文档,辅助对整个项目的理解。(关于pdb的使用方法可以参考:Flask debug 模式 PIN 码生成机制安全性研究笔记)

第1步:在cobra.py文件中sys.exit(main())语句前下断点

第2步:执行如下代码(具体的功能为:审计XXX目录下的代码)

python cobra.py -t /home/tonghua/XXX

步入到main()函数中

main()中的

最低0.47元/天 解锁文章
weixin_39927144
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cobra结合java_Cobra – 开源的多语言源代码安全审计工具
weixin_39710041的博客
02-26 295
Cobra介绍Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码中的大部分显著的安全问题和漏洞。由于开发人员的技术水平和安全意识各不相同,导致可能开发出一些存在安全漏洞的代码。 攻击者可以通过渗透测试来找到这些漏洞,从而导致应用被攻击、服务器被入侵、数据被下载、业务受到影响等等问题。 “源代码安全审计”是指通过审计发现源代码中的安全隐患和漏洞,而Cobra可将这个流程自动化。Cobra...
cobra:源代码安全审核(Source Code Security Audit)
03-22
眼镜蛇 简介(介绍) Cobra是一种源代码安全审计工具,支持检测多种开发语言源代码中的大部分显着的安全问题和漏洞。 功能(特点) 多语言支持(支持多种开发语言) 支持PHP,Java等开发语言,并支持数十种类型文件。 支持的多个漏洞(支持多个漏洞类型) 首批开放数万条不安全的依赖检查规则和数十条代码安全扫描规则,随后将持续开放更多扫描规则。 GUI / CLI / API模式(命令行模式和API模式) 提供本地Web服务器服务,可使用GUI可视化操作,也可支持本地API接口,方便和其他系统(发布系统,CI等)对接扩展。 屏幕截图(截图) 贡献者(贡献者) 项目由发起并,开发者 , , , ,也感谢其他,欢迎提交PR。 链接(链接)
Python库 | cobra_policytool-1.0.1-py2-none-any.whl
05-29
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:cobra_policytool-1.0.1-py2-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
代码审计-python和c
最新发布
守护万家灯火
04-24 224
在linux下运行python3 -m pip install semgrep。windows下运行会失败不清楚是不是姿势不对。python3代码安全审计,使用semgrep。
Python库 | cobra-0.13.0-py2.py3-none-any.whl
05-29
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:cobra-0.13.0-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | vivarium-cobra-0.0.2.tar.gz
05-24
资源分类:Python库 所属语言:Python 资源全名:vivarium-cobra-0.0.2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Cobra跨平台网站安全检测工具
12-13
功能: 网站扫描 ip反查 sql注入 扫描敏感目录 破解网站登陆 linux下运行方法 chmod +x Cobra ./Cobra
静态代码审计工具Cobra/Cobra-W/find-sec-bugs
公众号shadow sock7
02-03 4128
之前童话师傅写过一篇Cobra静态代码审计工具源码分析,所以先看看这个工具吧。 源码在: https://github.com/WhaleShark-Team/cobra 后来还有Lo写的一个改版: https://github.com/LoRexxar/Cobra-W 都试试吧。 ...
COBRA:安装与使用
m0_53945548的博客
01-15 432
【代码】cobra:安装与使用。
Python-Cobra眼镜蛇白盒代码安全审计系统
08-10
Cobra(眼镜蛇)是一款定位于静态代码安全漏洞分析系统。通过收集互联网常规漏洞的检测方法并输出成Cobra扫描规则,即可以自动化分析出源代码中存在的漏洞并生成完整的漏洞审计报告和详细的修复方案。
Cobra-White 白盒源代码审计工具-白帽子版
Fly_鹏程万里
03-17 2830
Cobra简介 Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码中的大部分显著的安全问题和漏洞。Cobra-W是从Cobra2.0发展而来的分支,将工具重心从尽可能的发现威胁转变为提高发现漏洞的准确率以及精度。 Cobra特点 与其他代码审计相比: 静态分析,环境依赖小。 语义分析,对漏洞有效性判断程度更深。 多种语言支持。 开源python实现,更易于二次开发。 与C...
cobra-0.24.0-py2.py3-none-any.whl
03-13
python安装依赖包
信息安全_企业级代码安全实践.pptx
08-14
议程: 一次常规漏洞挖掘 - 黑白盒异同 企业对代码安全的刚需 Cobra - 企业级开源代码安全审计系统
Cobra.rar--《Python源码分析
03-02
Python源码分析》书中提供的一个可视化Python虚拟机的开源项目--Cobra Cobra.rar包中包含两个部分: 1、cobraserver :这个是修改后的Python虚拟机 2、cobraweb :这个是基于Django和Ajax的前台可视化界面 编译...
安全渗透测试工具整理
公众号:乌云安全
03-14 2367
入门指南 Web Hacking 101 中文版:Web Hacking 101 中文版 · Web Hacking 101 中文版 浅入浅出Android安全 中文版:浅入浅出 Android 安全 中文版 · 浅入浅出 Android 安全 Android 渗透测试学习手册 中文版:Android 渗透测试学习手册 中文版 · Android 渗透测试学习手册 Kali Linux Web渗透测试秘籍 中文版:Kali Linux Web 渗透测试秘籍 中文版 · Kali Linux Web
罗塞塔语言包_罗塞塔代码(Rosetta Code)—揭开为世界提供动力的编程语言的奥秘
cumi6497的博客
07-11 3195
罗塞塔语言包History.comHistory.com It’s no secret that the tech world is dominated by a relatively small pool of programming languages. While exact figures are difficult to obtain (and no doubt vary over ti...
Win10安装tensorflow2.1步骤及常见问题解决
sinat_29217765的博客
09-08 443
最近一段时间重新巩固了一下Tensorflow笔记,由于Tensorflow已经更新到了2版本,所以就在电脑上面用Conda创建了一个2.1的环境,如下图所示: 创建命令为: # conda create -n TF2.1 python=3.7 pip ipython 注:后边我添加了pip和ipython,目的是在创建TF2.1环境的时候顺带安装pip和ipython以便于我使用pip和ipython 接下来是安装英伟达的SDK 10.1版本 和英伟达深度学习软件包7.6版本 #co...
cobra代码审计工具
10-13
Cobra是一款基于Python代码审计工具,它可以帮助开发人员和安全研究人员快速发现代码中的漏洞和安全问题。Cobra支持多种编程语言,包括Java、C/C++、Python等。 Cobra的主要特点包括: 1. 支持多种编程语言,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值