Part1 前言
最近感染了新冠,大病初愈,没有气力写复杂的文章了,就抽空把《代码审计工具系列教程》写完吧,前面几期介绍了商用代码审计工具Fortify、Checkmarx、Coverity、Klocwork的使用,同时也着重介绍了国内少有人提起的Fortify命令行的使用方法,方便大家调用Fortify命令行程序进行自动化代码审计平台的开发。
在此之前介绍的代码审计工具都是国外的,国内的商用代码审计工具我也测试过几款,在这里就不予置评,想要追赶Fortify、Checkmarx、Coverity这3款世界公认的商用工具,还是需要我们共同努力。本期介绍一款国内的代码审计工具啄木鸟,英文名字是CodePecker,功能方面,至少能出一份不错的中文代码审计报告,支持Java、PHP、Python代码的审计工作,这款工具还可以直接对java字节码进行代码审计工作,这点很不错。
求助:哪位朋友有Codesecure、IBM Security AppScan Source、国产的codepecker代码审计工具的破解版或者是试用版,方便的话发我试用一下,保证不外传,保证不用于商业目的,Thanks♪(・ω・)ノ
Part2 使用过程
啄木鸟CodePecker工具是商业版的,需要一个加密狗U盘才可以使用。这里我还是选用自己最擅长的Java代码进行代码审计工作吧,打开软件后界面如下:
接下来选择JavaWeb的代码文件夹:
接下来选择Java源码的依赖库,也可以理解为jar包路径,如果是JavaWeb代码,记得勾选“这是一个Web项目”。如不选择第三方库,引擎会自动分析当前源码目录,并将目录内所有的class和jar加载到检测路径上。
这里可以进行Jvm启动参数配置。
点击“下一步”,选择Java的规则库,这里我们全选即可。
点击“完成”,即开始代码审计工作。
Codepecker啄木鸟开始进行代码的“缺陷检查”工作:
接下来看一下扫描结果,报告看起来还不错。
如下图所示,可以看到代码审计结果,每个漏洞都配有中文描述及漏洞修复建议。
Part3 总结
Help: Which friend has a cracked or trial version of Codesecure, Klockwork, and IBM Security AppScan Source? If it's convenient, send it to me for trial, and I guarantee that it will not be used for commercial purposes。Thanks♪(・ω・)ノ。Contact me by e-mail : 0day123abc#gmail.com(replace # with @)。
专注于网络安全技术分享,包括红队攻防、蓝队分析、渗透测试、代码审计等。每周一篇,99%原创,敬请关注
Contact me: 0day123abc#gmail.com(replace # with @)
原文始发于微信公众号(网络安全abc123):第43篇:国内商用代码审计工具CodePecker啄木鸟的使用教程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论