horusec使用教程
1.Horusec工具是干什么的?
Horusec是一款功能强大的开源工具,它可以帮助广大研究人员执行静态代码分析,以识别开发过程中的安全缺陷。目前,Horusec支持分析的语言有:C#、Java、Kotlin、Python、Ruby、Golang、Terraform、Javascript、Typescript、Kubernetes、PHP、C、HTML、JSON、Dart
2.工具安装
安装方式有跟多,本文介绍简单实用的安装方式(采用docker安装)
本地使用
如需在本地使用Horusec,首先需要将该项目源码克隆至本地:
再ubuntu中运行一下命令:
git clone https://github.com/ZupIT/horusec.git
进入horusec文件中,运行以下命令即可
make install
完成后,即可访问管理端:http://localhost:8043
默认登录用户名密码:dev@example.com/Devpass0*
登录后即可管理客户端漏洞,显示漏洞详情。
使用方式:
1.客户端需要使用管理端下发token,客户端利用token。命令如下
horusec start -a=“REPOSITORY_TOKEN” -p="/home/user/project"
2.token获取如下:
复制token后,即可运行命令扫描代码文件:
扫描完成后即可查看结果:
结果显示问题的中高危,以及编号。