Java 静态代码分析工具-OWASP基准测试测评篇

最新推荐文章于 2024-05-19 09:17:36 发布
最新推荐文章于 2024-05-19 09:17:36 发布
阅读量569 收藏 2
点赞数
文章标签: 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40954491/article/details/117751144
版权

 背景

源代码静态分析工具(SAST)作为软件安全的重要保障工具,已经在各个领域被广泛使用。随着开源SAST工具的广泛使用,工具种类的增加,使用者很难判断工具的优劣及适不适合企业的应用场景,本文从金融、互联网企业最常用的Java语言代码分析的角度,对静态分析进行一次简要的测评,为大家选择静态分析工具提供依据,此外,本文分析了目前静态代码分析工具存在的技术问题及工具评估的基本准则。

 概述

一般来说,误报和漏报率是SAST最重要的技术评价指标,但由于没有通用意义上的测试集能够全面反应静态分析工具在检测精度能力方面高低暨分析的敏感度。由此,为了简化测试难度,本次测评我们选择了一个Java语言且偏安全的国际通用测试集OWASP benchmark,以反应代码分析工具在Java安全检测能力上的强弱。

OWASP基准测试是一个示例应用程序,其中包含来自11个类别的数千个漏洞。基准测试中包括很难通过静态分析处理的代码片段,例如:间接调用、不可达分支、映射、依赖于配置文件的值。用例下载地址:https://github.com/OWASP/Benchmark/releases,可以在一定程度上反应代码分析工具的检测能力。

1. 测试依据

下表为某款工具的OWASP检测结果,如图所示,左侧一列表示所有类别,P/N为正/负样本数(badcase/goodcase)TP/FP为真/假阳性的数量(badcase报出数/误报数)TN/FN是真/假阴性的数量(good case报出数/漏报数),TPRFPR是正确率和误报率,Y是约登指数,约登指数( Youden’s indxYI)即正确指数,此指数值的范围只从0~1,约登指数越大, 其真实性亦越好。其中TPRFPRY的计算公式如下:

TPR=TP/P

FPR=FP/N

Y=[TP/(TP+FN)+TN/(FP+TN)]-1

类别

P

N

TP

FP

TN

FN

TPR

FPR

Y

Command Injection (cmdi)

126

125

126

45

80

0

1.0

0.36

0.64

Weak Cryptography (crypto)

130

116

130

0

116

0

1.0

0.0

1.0

Weak Randomness (hash)

129

107

129

0

107

0

1.0

0.0

1.0

LDAP Injection (ldapi)

27

32

27

13

19

0

1.0

0.41

0.59

Path Traversal (pathtraver)

133

135

133

36

99

0

1.0

0.27

0.73

Secure Cookie Flag securecookie)

36

31

36
最低0.47元/天 解锁文章
Mason_RedRocket
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全】OWASP基准测试测评
2201_75857869的博客
02-10 223
一般来说,误报和漏报率是SAST最重要的技术评价指标,但由于没有通用意义上的测试集能够全面反应静态分析工具在检测精度能力方面高低暨分析的敏感度。由此,为了简化测试难度,本次测评我们选择了一个Java语言且偏安全的国际通用测试集OWASP benchmark,以反应代码分析工具Java安全检测能力上的强弱。OWASP基准测试是一个示例应用程序,其中包含来自11个类别的数千个漏洞。基准测试中包括很难通过静态分析处理的代码片段,例如:间接调用、不可达分支、映射、依赖于配置文件的值。
安全测试工具-OWASP ZAP使用
07-30
在我们日常的测试工作中,我们可以使用zap来协助我们做web安全测试,只需简单的几个步骤即可完成自动化的web安全测试.
Benchmark:OWASP Benchmark 是一个测试套件,旨在验证软件漏洞检测工具的速度和准确性。 一个用 Java 编写的完全可运行的 Web 应用程序,它支持通过支持 Java静态 (SAST)、动态 (DAST) 和运行时 (IAST) 工具进行分析。 这个想法是,由于它是完全可运行的,并且所有漏洞实际上都是可利用的,因此它对任何类型的漏洞检测工具都是一个公平的测试。 有关此项目的更多详细信息,请参阅 OWASP Benchmark 项目主页
07-24
OWASP 基准 OWASP 基准项目是一个 Java 测试套件,旨在验证漏洞检测工具的速度和准确性。 它是一个完全可运行的开源 Web 应用程序,可以通过任何类型的应用程序安全测试 (AST) 工具进行分析,包括 SAST、DAST(如 )和 IAST 工具。 目的是故意包含在基准中并由基准评分的所有漏洞实际上都是可利用的,因此它对任何类型的应用程序漏洞检测工具都是一个公平的测试基准测试还包括用于众多开源和商业 AST 工具的记分卡生成器,并且支持的工具集一直在增长。 项目文档都在 OWASP 站点的项目页面上。 有关所有项目的详细信息,请参阅该站点。 当前的最新版本是 v1.2。 请注意,此处提供的所有版本: : 都是历史版本。 通过简单地克隆或拉取此存储库的头部(即 git pull),最新版本始终可用。
owasp crs规则评分阈值调试记录
focus on security
05-25 1990
Crs规则中默认inbound_anomaly_score_threshold=5阈值5 paranoia_level=1 严格等级默认为1,调高会匹配高等级规则 critical_anomaly_score=5命中严重异常规则的请求会加5分 error_anomaly_score=4 命中错误异常规则的请求会加4分 warning_anomaly_score=3 命中警告异常的请求会加3分 notice_anomaly_score=2 命中提示异常的请求会加2分 全部采用默认配置,选用全部默认
OWASP Benchmark | OWASP 基准项目介绍
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-19 1036
市面上的静态代码检测SAST工具越来越多,除了业界比较知名的Coverity、Fortify、CheckMax,还有CodeQL、SonarQube、CppCheck等,国内也涌现了一大波检测工具,如鸿渐SAST、奇安信代码卫士、北大Cobot、酷德啄木鸟等,市场上能叫上名的SAST工具约200+种。不同SAST工具检测能力差异较大,比如支持的扫描规则,扫描规则能力。如何有效衡量这些检测工具规则扫描能力,给企业选型SAST工具提供参考,成为了一项业界难题。
教你从零搭建Web漏洞靶场OWASP Benchmark
华为云官方博客
02-09 3683
摘要:Owasp benchmark 旨在评估安全测试工具的能力(准确率、覆盖度、扫描速度等等),量化安全测试工具的扫描能力,从而更好得比较各个安全工具优缺点。
利用OWASP Benchmark V1.2基准对国内静态检测工具测评分析
manok的专栏
07-21 3129
笔者一直从事于软件测试、软件安全方面工作,跟踪国内外软件测试工具的使用和效果。最近笔者接触了CoBOT源代码缺陷检测工具,想验证一下该工具的检测效果,于是下载了OWASP Benchmark 1.2基准测评项目,通过CoBOT官网联系试用工具,看看这款工具到底如何。 OWASP Benchmark是OWASP(Open Web Application Securi...
owasp-orizo​​n:Owasp Orizon是源代码静态分析工具,旨在发现Java应用程序中的安全问题。
02-05
是一种源代码静态分析工具,旨在发现Java应用程序中的安全性问题。 历史 在意大利米兰,这是一个黑暗而暴风雨的夜晚。 那是2006年,我觉得有必要帮助我回顾其他人的Java代码。 因此,Owasp Orizon出生并成长为一...
Python-OWASP移动安全测试指南
08-10
移动安全测试指南(MSTG)是移动应用安全测试和逆向工程的终极指南
mac-安全测试工具owasp zap下载
06-13
owasp作为一个开源免费的安全测试工具,集成了各种工具的渗透测试框架,可以用来主动扫描和手动扫描,也可以用里面的库进行渗透测试,里面的内容也实时都在更新,建议有安全测试需求的测试人员练手使用。 由于官网...
owasp-java-encoder:OWASP Java编码器是Java 1.5+的易于使用的嵌入式高性能编码器类,没有依赖关系,而且负担很轻。 该项目将帮助Java Web开发人员防御跨站点脚本!
05-23
OWASP Java编码器项目 上下文输出编码是停止跨站点脚本编写所必需的计算机编程技术。 该项目是Java 1.5+易于使用的嵌入式高性能编码器类,几乎没有负担。 开始使用OWASP Java编码器 您可以从下载JAR。 JSP标签和EL函数可在encoder-jsp中使用,也可以在。 这些罐子也可以在Maven中使用: < dependency> < groupId>org.owasp.encoder</ groupId> < artifactId>encoder</ artifactId> < version>1.2.3</ version> </ dependency> < dependency> < groupId>org.owasp.encoder</ groupId> < artifactId>encod
owasp_benchmark_test
04-16
OWASP基准 OWASP Benchmark Project是一个Java测试套件,旨在验证漏洞检测工具的速度和准确性。 它是一个完全可运行的开源Web应用程序,可以通过任何类型的应用程序安全测试(AST)工具进行分析,包括SAST,DAST(例如 )和IAST工具。 目的是故意将所有故意包含在基准测试中并由基准测试打分的漏洞加以利用,因此,它是对任何类型的应用程序漏洞检测工具的公平测试。 Benchmark还包括用于众多开源和商业AST工具的计分卡生成器,并且所支持的工具集一直在增长。 项目文档全部位于项目页面上的OWASP站点上。 有关所有项目的详细信息,请参考该站点。 当前的最新版本是v1.2。 请注意,此处提供的所有版本: : 都是历史性的。 只需克隆或拉出此存储库的头部(即git pull),即可始终在线获得最新版本。
OWASP Benchmark搭建
TENCENTSYS的博客
04-19 919
一、简介 OWASP benchmark是OWASP组织下的一个开源项目,又叫作OWASP基准测试项目,它是免费且开放的测试套件。它可以用来评估那些自动化安全扫描工具的速度、覆盖范围和准确性,这样就可以得到这些软件的优点和缺点,还可以对它们进行相互比较。每个版本的OWASP benchmark都包含数千个完全可运行和利用的测试用例,每个测试用例都映射到该漏洞的相应CWE编号,所以该项目的漏洞数量和...
渗透测试专家必备工具OWASP
wzj的博客
05-31 5250
OWASP,全称是:Open Web Application Security Project,翻译为中文就是:开放式Web应用程序安全项目,是一个非营利组织,不附属于任何企业或财团,这也是该组织可以不受商业控制地进行安全开发及安全普及的重要原因。它应用于web扫描和攻击的安全工具,同时也是开源的,在截断代理以及扫描攻击上是比较强大的。 OWASP扫描漏洞范围: 1—注入 2—失效的身份认证会话管理 3—跨站脚本、XSS 4—不安全的直接对象引用 5—安全配置错误 6—敏感信息泄漏 7—功能级访问控制缺失
再借你一双慧眼 识别强大的代码安全审计工具
manok的专栏
12-31 631
今天,我还是分析一款强大的代码安全审计工具到底应该什么样?还是以OWASP Benchmark的Java案例作为例子进行分析。Benchmark中2740个包含真假漏洞的案例中,分为10类,例如SQL注入、命令行注入、弱密码、弱哈希等等。下面我以其中三个类别的真假漏洞作为例子,进行分析。 先看SQL注入,我从其中选择了一个具有代表性的案例,BenchmarkTest00105.j...
OWASP TOP 10 及防御
qq_21193587的博客
05-31 5337
什么是 OWASP TOP 10 OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。 其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。 最重要的版本 应用程序中最严重的十大风险 A1 注入漏洞 在 2013、2017 的版本中都是第一名,可见此漏洞的引入是多么的
11 款用于优化、分析代码Java工具
aizongmao2539的博客
08-02 321
本文将提供一些工具,帮助你优化代码以及检查源代码中的潜在问题。 1. PMD from http://pmd.sourceforge.net/ PMD能够扫描Java代码,查找类似以下的潜在问题: 可能的bug——try/catch/finally/switch语句中返回空值。 死代码——未使用的局部变量、参数、私有方法。 不理想的代码——使用String/StringBuff...
OWASP安全测试手册V3.0:Web应用渗透测试指南
"OWASP安全测试指南中文版是2008V3.0版本,由OWASP基金会发布,授权于Creative Commons Attribution-ShareAlike 3.0许可。该指南旨在提供一个全面的安全测试框架,特别关注Web应用的安全性。文档得到了杭州安恒信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值