第95天:代码审计-SAST&IAST项目&PHP&Java&NET&Python&Js&Go等测评

于 2024-05-20 10:41:19 发布
阅读量298 收藏 6
点赞数 4
文章标签: php 开发语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71529930/article/details/139044099
版权

前置知识

技术对比

 

语言对应工具表

PHP -Seay RIPS CheckMarx Fortify VCG Kunlun-M
NET -VCG Fortify CheckMarx
Java-Fortify CheckMarx
Python-Bandit CheckMarx
JS-Kunlun-M NodeJsScan CheckMarx
Go-Gosec CheckMarx

案例一: php代码静态审计工具(SAST)

PHP -Seay RIPS CheckMarx Fortify VCG Kunlun-M

seay(low)

误报率比较高

VCG(low)

选择语言php

导入文件

开始扫描

勾选

查看审计结果

summary tables可以查看具体漏洞出现的位置

RIPS

这里该项目需要放在网站目录下

配置

Kunlun-M(推荐)

对php,js审计比较适配

下载地址:https://github.com/LoRexxar/Kunlun-M

对于扫描机制与其他工具不太一样,比较推荐

首先需要安装依赖

pip install -r requirements.txt

配置文件迁移

cp Kunlun_M/settings.py.bak Kunlun_M/settings.py

初始化数据库,默认采用sqlite作为数据库

python kunlun.py init initialize

加载规则进数据库(每次修改规则文件都需要加载)

python kunlun.py config load

运行

python kunlun.py scan -t 源码路径

运行结果

案例二: python代码静态审计工具(SAST)

bandit

下载地址: https://github.com/PyCQA/bandit

下载完压缩包以后,执行安装命令

pip install bandit

执行完成以后会在python目录下的script文件夹中生成exe文件

运行

bandit -r 目录文件

扫描出来的结果,红色高危,黄色中危,蓝色低危

保存到文件的操作

-o a.txt(文件名)  -f txt(文件类型)

其他语言工具包下载地址:

nodejs: https://github.com/ajinabraham/nodejsscan

go: GitHub - securego/gosec: Go security checker

checkmark fority对各种语言都有支持,并且漏洞发现是通过跟踪语句发现的但是这里找不到安装包了

xiaojiesec
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python入门实战:Python的代码审计
禅与计算机程序设计艺术
11-25 338
1.背景介绍 随着互联网、移动应用、物联网、云计算等新兴技术的发展,越来越多的人开始关注与研究应用层面的安全性和健壮性问题。而对于安全敏感的企业级应用软件来说,提升代码质量、减少安全风险,也是当务之急。如何检测并快速定位潜在安全漏洞、优化代码结构,确保应用安全无忧是这个领域的重中之重。 代码审计是目前最有效的检测和定位安全漏洞的方式之一。
10年IT老兵给职场新人的一些建议
中间件兴趣圈
04-02 3489
一名普通二类本科程序员的10年IT从业经验总结,结合自身每一段经历所做过的弯路以及遇到职业瓶颈之后的迷茫、破局逆袭之路,给各位初入职场不久的新人一些中坑建议,值得借鉴。
python 安全编码&代码审计
swordheart的博客
04-23 2448
0x00 前言 现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。 0x01 XSS 未对输入和输出做过滤,场景: 1 2 3 4 5 <code>#!python def xss_
《Python代码审计》(1)一款超好用的代码扫描工具
午夜安全
12-16 2209
从本文开始,我将开始介绍Python源代码审计代码审计是检查源代码中的安全缺陷,检查源代码是否存在安全隐患,或者编码不规范的地方。通常使用自动化工具或者人工审查的方式,自动化工具效率高,但是误报率也高,并且发现的问题不够深入、全面;人工审查的方式可以全面深入的发现源代码中的安全缺陷,缺点是耗时较长。
代码审计思路详解
Ciyaso的博客
04-30 6962
代码审计概念 代码审计定义 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 代码审计对象 php,java,C/C++,C#,jsp,asp,net等等 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j7f2PGUd-1619771792539)(C:\Users\ASUS\App
人工智能-代码审计-一个基于 ChatGPT 的开源代码审计平台
最新发布
07-01
cd ChatGPTScan-SAST 然后在 deploy/docker-compose.yml 和 web/config.yaml 中配置数据库连接信息,要求两者一致 # deploy/docker-compose.yml db: image: mysql:latest container_name: db environment: ...
js-x-ray:JavaScript和Node.js开源SAST扫描器。 用于检测最常见恶意模式的静态分析器
04-23
项目的目标是成功检测所有潜在可疑JavaScript代码。目标显然是出于恶意目的而添加或注入的代码。 大多数时候,这些黑客会试图尽可能地隐藏其代码的行为,以避免被发现或轻易理解。...库的工作是理解和分析这些...
sast-scan:完全开源的SAST扫描仪,支持多种语言和框架。与主要的CI管道和IDE(例如Azure DevOps,Google CloudBuild,VS Code和Visual Studio)集成。无需服务器!
03-21
介绍 ___ _____ _ _ / _ \ | _ _ | | | | / /_ \ \_ __ _ __ | | | | __ _ __ ___ __ _ | | _ | _ | ' _ \| ' _ \| | | ' _ \| ' __/ _ \/ _ ` | __ | ...此存储库构建了appthreat/sast-scan (和quay.io/ap
njsscan:njsscan是一种语义感知的SAST工具,可以在您的Node.js应用程序中找到不安全的代码模式
04-14
njsscan njsscan是一个静态应用程序测试(SAST)工具,可以使用来自简单模式匹配器和可语法的语义代码模式搜索工具在node.js应用程序中找到不安全的代码模式。 用 在印度支持njsscan 通过贝宝捐赠: 赞助项目: 电子...
综述如何开展代码审计
qq_59611876的博客
04-25 429
综述开展代码审计的步骤
Python代码审计中常见的漏洞(一)
武天旭的博客
05-31 1747
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题:
交互式应用安全测试(IAST)学习笔记
securitypaper的博客
07-08 1420
新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST 传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)
[De1CTF 2019]SSRF Me 1——python代码审计
m0_62879498的博客
05-09 604
[De1CTF 2019]SSRF Me 1 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__)
IAST 工具初探
05-26 1280
IAST:交互式应用程序安全测试(Interactive Application Security Testing)。 近年来,IAST作为一种新的应用安全测试技术,受到广泛的关注,慢慢出现了一些iast开源项目,可以让更多的个人或者企业参与体验。 本文就目前网络中找到的几款iast工具进行部署测试,记录一些使用过程。 1、openrasp-iast openrasp-iast 是一款灰盒扫...
浅析开源项目代码审计
xxx
10-02 1024
最近一段时间,在一个前端大佬那里了解到一个构建知识图谱的开源项目,激起了我的兴趣。我之前讨论过如何构建垂直搜索引擎,本质上也是想构建出独特的领域知识。这个开源项目是以这个开源项目为例,我将一步步剖析如何读懂一个开源项目,以及利用各种方法尽可能的去了解这个项目
web应用安全测试技术DAST、SAST、IAST对比分析
weixin_43805705的博客
12-12 497
为了发现软件的漏洞和缺陷,确保Web应用程序在交付之前和交付之后都是安全的,就需要利用Web应用安全测试技术识别Web应用程序中架构的薄弱点和漏洞,并且必须赶在网络黑客找到和利用它们之前。
【整理】PYTHON代码审查工具
渡江客涂鸦板
06-07 4487
这两天看了python相关代码的审查、覆盖等工具,先记录下来,后边再总结其用法。python的review工具Review boardReview board 是一个 基于web 的工具,主要设计给django 和python的用户。Review board 可以帮助我们追踪待决代码的改动,并可以让Code-Review更为容易和简练。尽管Review board 最初被设计在VMware项目中使用
安装运行DAST、SAST、IAST工具至少各一种,设计对比实验
06-13
好的,我可以为您提供一些关于DAST、SAST、IAST工具的信息以及如何进行对比实验。 首先,DAST(动态应用程序安全测试)工具是一种测试Web应用程序安全性的工具,它通过模拟攻击来检测应用程序中的漏洞。常见的DAST工具包括:Burp Suite、OWASP ZAP、Netsparker等。 其次,SAST(静态应用程序安全测试)工具是一种分析源代码的工具,以检测可能导致安全漏洞的代码。常见的SAST工具包括:Checkmarx、Veracode、Fortify等。 最后,IAST(交互式应用程序安全测试)工具是一种结合了DAST和SAST的工具,它可以在运行时检测到应用程序中的漏洞,并同时分析源代码以确定漏洞的根本原因。常见的IAST工具包括:Contrast Security、Rapid7、Qualys等。 对于如何进行对比实验,您可以考虑以下几个方面: 1.功能比较:比较不同工具的功能和特性,如检测准确性、可扩展性、易用性等。 2.效率比较:比较不同工具在检测漏洞时的效率和速度。 3.成本比较:比较不同工具的成本和使用成本,包括购买费用、维护费用等。 4.实际应用:将不同工具应用于实际项目中,并比较它们在实际环境中的表现和效果。 需要注意的是,这些工具的适用情况和效果会因为具体的应用环境、应用程序的类型和规模、测试人员的技能等因素而有所不同,因此在进行对比实验时需要对具体情况进行分析和评估。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值