轻量级代码审计扫描工具

最新推荐文章于 2024-11-06 22:31:51 发布
最新推荐文章于 2024-11-06 22:31:51 发布
阅读量224 收藏 4
点赞数 10
分类专栏: 代码审计 文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44187657/article/details/142713572
版权

sdlc_python

sdlc_python 是一个基于python语言构建的devsecops平台,旨在促进 DevSecOps 和安全开发生命周期 (SDLC) 实践。它通过模拟常见漏洞来增强开发人员的安全意识(对应sdlc中对开发人员的安全培训),并且使用了大模型进行代码安全审计(对应sdlc中代码审计阶段),帮助企业进行安全左移。除了用于 DevSecOps 实践外,sdlc_python 还可以用于学习漏洞知识、渗透测试和代码审计。本项目采用了前后端分离的设计模式,其中后端利用了轻量级框架 Flask,而前端则使用了 Vue 3。

使用样例

AI代码安全审计扫描
在这里插入图片描述

漏洞示范
在这里插入图片描述

主要特性

前后端分离:后端处理业务逻辑,前端负责用户交互。
轻量高效:使用 flask 框架。
代码扫描:使用大模型对代码进行安全检测,为devsecops中漏洞左移做保障。

技术栈

后端: python (flask 框架)
前端: Vue 3

安装与运行

下载最新版本的发布包
运行发布包中的start.bat
在web登录界面输入账号:user1,密码:hello

道一安全
关注
专栏目录
【Java代码审计代码审计的方法及常用工具
大河之犬的博客
05-10 1525
Eclipse 是 Java 开发者非常喜欢的工具之一,它具有强大的编辑、调试功能,允许开发人员安装不同的插件,从而拓展不同的功能。Burp Suite 是渗透测试工作者必备的一款工具,同时对于代码审计者和安全研究人员来说,这也是一款比较重要的测试工具,其跨平台、便捷、强大的功能以及丰富的插件,深受信息安全从业者的喜爱。Ysoserial 是一款开源的 Java 反序列化测试工具,内部集成有多种利用链,可以快速生成用于攻击的代码,也可以将新公开的反序列化漏洞利用方式自行加入 Ysoserial 中。
代码审计:Fortify SCA 代码审计神器.
网络安全领域___专研者.
06-02 2270
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
静态代码审计工具Cobra/Cobra-W/find-sec-bugs
公众号shadow sock7
02-03 4773
之前童话师傅写过一篇Cobra静态代码审计工具的源码分析,所以先看看这个工具吧。 源码在: https://github.com/WhaleShark-Team/cobra 后来还有Lo写的一个改版: https://github.com/LoRexxar/Cobra-W 都试试吧。 ...
DroopESCAN:深度安全扫描工具,为你的代码保驾护航
gitblog_00085的博客
04-12 336
DroopESCAN:深度安全扫描工具,为你的代码保驾护航 droopescan项目地址:https://gitcode.com/gh_mirrors/dro/droopescan 项目简介 是一个强大的、可扩展的安全扫描工具,由 droope 开发并开源。它专为持续集成/持续部署(CI/CD)环境设计,能够帮助开发者在代码提交或部署前发现潜在的安全漏洞和编码问题。项目的目标是提供一种高效且准确...
第38篇:Checkmarx代码审计/代码检测工具的使用教程(1)
ABC_123的博客
12-21 8704
Part1 前言Checkmarx是以色列研发的一款代码审计工具,是.NET开发的,只能在Windows下使用。很多人喜欢把它和fortify进行比较,其实很难说两款工具孰优孰劣,各有秋千吧,两款工具配合起来互补一下更好。Checkmarx和Fortify一样,是商业版的,没有免费版。就我本人实战使用的经验来看,对于有些高危漏洞,有时候Fortify能扫出来,有时候Checkmarx能扫出来,...
代码审计工具
m0_51428325的博客
04-30 2358
三款自动化代码审计工具各有优势,我是下载的VCG做的代码审计,可以根据自身的实际情况选择工具。 0×01简介 工欲善其事,必先利其器。 在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中,本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具:RIPS、VCG、Fortify SCA。 RIPS是一款开源的,具有较强漏洞挖掘能力的自动化代码审计工具。它使用PH..
轻量级内网资产探测漏洞扫描工具.txt
04-22
### 轻量级内网资产探测漏洞扫描工具解析 #### 移动安全概述 移动安全,作为现代网络安全的一个重要分支,主要关注于保护移动设备(如智能手机和平板电脑)及其上的应用程序免受各种安全威胁。随着移动技术的飞速...
网络端口扫描工具.zip
06-22
ScanPort V1.2是一款专为网络管理员和安全研究人员设计的轻量级工具,它的主要功能在于快速有效地扫描网络端口。由于其无需安装,下载即用的绿色属性,使得用户可以在任何需要的环境下快速启动扫描任务,极大地提升...
jSQLInjection用于从远程服务器查找数据库信息的轻量级Java应用程序
08-08
jSQLInjection是一款专为Java开发者设计的轻量级工具,主要用于检测和防范SQL注入漏洞。在软件开发过程中,尤其是涉及到与数据库交互的应用,SQL注入是一个常见且危险的安全问题。通过jSQLInjection,开发者可以对...
各种awd工具工具集合
10-21
2. tcpdump:轻量级的命令行工具,同样用于网络封包捕获,适用于快速查看网络流量。 三、远程连接工具 远程连接工具在AWD中用于控制和管理远程主机,这在攻击或防御策略中都可能用到: 1. SSH(Secure Shell):...
自动化代码审计工具
weixin_30756499的博客
07-14 3520
三款自动化代码审计工具 0×01 简介 工欲善其事,必先利其器。 在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中,本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具:RIPS、VCG、Fortify SCA。 RIPS是一款开...
代码审计工具-Fortify详细介绍和使用
热门推荐
ffffffuk的博客
09-16 1万+
Fortify SCA详细 1.1 Fortify SCA概述 1、Source Code Analysis 阶段概述 Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段: 转换:使用源代码创建中间文件,源代码与一个 Build ID相关联,Build ID通常就是项目名称。 扫描与分析:扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。 校验:确保所有源文件均包含
Cobra-White 白盒源代码审计工具-白帽子版
Fly_鹏程万里
03-17 2941
Cobra简介 Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码中的大部分显著的安全问题和漏洞。Cobra-W是从Cobra2.0发展而来的分支,将工具重心从尽可能的发现威胁转变为提高发现漏洞的准确率以及精度。 Cobra特点 与其他代码审计相比: 静态分析,环境依赖小。 语义分析,对漏洞有效性判断程度更深。 多种语言支持。 开源python实现,更易于二次开发。 与C...
代码审计-工具介绍及思路
cldimd的博客
05-20 1481
工具篇之开发环境-----仅供参考 0x01.PhpStorm PhpStorm 是JetBrains公司开发的一款商业的PHP 集成开发工具,旨在提高用户效率,可深刻理解用户的编码,提供智能代码补全,快速导航以及即时错误检查,是一个非常不错的开发环境。 主要特点: 1.跨平台。 2.对PHP支持refactor功能。 3.自动生成phpdoc的注释,非常方便进行大型编程。 4.内置支持Zencode。 5.生成类的继承关系图,如果有一个类,多次继承之后,可以通过这个功...
Java基础 | 专业排行榜前7的Java代码审计工具
ch98000的博客
09-02 6261
本文给出了上面的所有好的Java审计工具和基本使用方法,和各自特点,并且以上都很好用,都很优秀,如果能好好使用,可以让工作效率大大增加。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8534
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
防火墙|WAF|漏洞|网络安全
最新发布
qq_43777616的博客
11-06 352
防火墙|WAF|漏洞|网络安全
网络安全从入门到精通(特别篇IIl):应急响应之病毒蠕虫处置流程
HACKONE的博客
11-06 83
排查 init.d 目录下的脚本文件,如果某个脚本启动的服务进程与名称不符,或者脚本文件的内容被修改,加有别的什么东西启动了别的进程,必须仔细排查,极可能是被用来启动后门进程了。排查C: \、C: \winnt、C: \winnt\System 、C: \winnt\ System32、C: \winnt\System32\dllcache、C: \winnt\System32\ drivers、各个Program Files目录下的内容,排查他们目录及文件的属性,若无版本说明,多为可疑文件;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值