除了像前面介绍的 fortify,tabby,这些工具以外,还有一些插件工具,也是可以拿来做审计辅助。
大部分插件工具都是放在 idea 上,当然也有一些插件是 vs 上,这里先介绍 idea 审计插件工具.
今天主要介绍两个 idea 插件工具。
iast-动态代码审计工具
洞态 iast。它通过使用部署在 Web 应用程序上的 Agent 来监控运行时发送的流量并分析流量流以实时识别安全漏洞。
(简单来说,就是你在 web 项目上各个功能路径点啊点啊,输入一些奇怪字符,根据程序运行流然后如果触发到漏洞函数插桩的地方就会识别。)
项目地址:
https://github.com/HXSecurity/DongTai ( https://github.com/HXSecurity/DongTai )
项目部署:
https://doc.dongtai.io/docs/introduction ( https://doc.dongtai.io/docs/introduction )
我主要是用过这个。我感觉很吃内存,我虚拟机太容易崩了。你可以使用 docker 部署一个 server。还要找售前要一个 token。大家可以试试,(中小型项目可以试试玩玩,)
部署可参考:
https://www.cnblogs.com/wavesky/p/16479189.html ( https://www.cnblogs.com/wavesky/p/16479189.html )
https://www.freebuf.com/sectool/371300.html ( https://www.freebuf.com/sectool/371300.html )
实际效果:
https://blog.csdn.net/weixin_40418457/article/details/119151763 ( https://blog.csdn.net/weixin_40418457/article/details/119151763 )
静态代码安全审计
MOMO Code Sec Inspector ,主要是可以检测缺陷/漏洞代码,然后提供修复代码。
这个插件我没有用过。有空也试试
项目地址:gitee.com/mirrors/momo-code-sec-inspector-java
原文始发于微信公众号(天才少女Alpha):审计工具之各种插件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论