代审辅助工具 简介

免责声明

写在前面：内容仅用于学习交流使用；由于传播、利用本公众号钟毓安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号钟毓安全及作者不为此承担任何责任，一旦造成后果请使用者自行承担！如有侵权，请及时告知，我们会立即删除并致歉！

java代审学习-2.22

一、代码编辑工具

Sublime Text是一个免费的文本编辑器，现在世面上文本编辑工具还真不少。对于开发者来说，它是一个代码编辑器，但大多开发者只是拿它当成代码查看器，现在vscode挺香的，功能插件更丰富。

优点：

• 体积小,运行速度快
• Windows 中的 txt记事本功能太简单，有时候需要列编辑功能。
• 与nodepad++相比，界面和使用感受相当不错。
• 它支持全平台，支持Windows、Linux、MacOS操作系统。

官网：https://www.sublimetext.com/

IDEA，全称IntelliJ IDEA，是 Java 语言的集成开发环境， IDEA 在业界被公认为是最好的 java 开发工具之一，一旦用上了就会上瘾。尤其在智能代码助手、代码自动提示、重构、 J2EE 支持、 Ant、 JUnit、 CVS 整合、代码审查、创新的 GUI 设计等方面的功能可以说是超常的。

优点：

• 它的代码提示功能、代码管理能力会比同类型的工具的效率会高很多

官网：https://www.jetbrains.com/idea/

二、测试工具

Burp Suite是一款信息安全从业人员必备的集成型的渗透测试工具，它采用自动测试和半自动测试的方式。

通过拦截HTTP/HTTPS的web数据包，充当浏览器和相关应用程序的中间人，进行拦截、修改、重放数据包进行测试。

官网：https://portswigger.net/burp/pro

SwitchyOmega 是一款可在 Google Chrome 浏览器上使用的代理扩展程序，它的设计目的是为了简化和管理多个代理服务器的配置。这款插件允许用户创建并管理复杂的代理规则，以便在不同的情况下自动切换到最适合的代理服务器。

官网：https://proxy-switchyomega.com/

Apifox 是接口管理、开发、测试全流程集成工具，定位 Postman + Swagger + Mock + JMeter。只要定义好接口文档，接口调试、数据 Mock、接口测试就可以直接使用，无需再次定义。

官网：https://apifox.com/

开源的反序列化测试工具，可以生成各种利用莲，快速启动恶意的RMI服务等等。

下载地址：https://github.com/frohoff/ysoserial

三、Navicat 数据库管理工具

Navicat Premium 是一套可创建多个连接的数据库开发工具，让你从单一应用程序中同时连接 MySQL、Redis、MariaDB、MongoDB、SQL Server、Oracle、PostgreSQL 和 SQLite 。它与 GaussDB 、OceanBase 数据库及 Amazon RDS、Amazon Aurora、Amazon Redshift、Amazon ElastiCache、Microsoft Azure、Oracle Cloud、MongoDB Atlas、Redis Enterprise Cloud、阿里云、腾讯云和华为云等云数据库兼容。你可以快速轻松地创建、管理和维护数据库。

下载地址：https://www.navicat.com.cn/products#navicat

四、Beyond Compare 对比工具

Beyond Compare 是一套非常实用的文件及文件夹比较软件，不仅可以快速比较出两个文件夹的不同之处，还可以详细的比较文件之间的内容差异。程序内建了文件浏览器，方便您对文件、文件夹、压缩包、FTP网站之间的差异对比以及资料同步。您可以使用它管理程序源代码，同步文件夹，比较程序输出，及验证光盘的复制。Beyond Compare还支持脚本处理、支持插件，尤其对中文支持很好。

下载地址：https://www.beyondcomparepro.com/download

五、反编译工具

JD-GUI是一个独立的图形实用程序，显示“.class”文件的Java源代码。使用JD-GUI浏览重构的源代码，以便即时访问方法和字段。

下载地址：http://java-decompiler.github.io/

Fernflower是一个开源的Java反编译器工具，它具有高度可配置性和灵活性。Fernflower支持将Java字节码文件转换为Java源代码，并提供了一些额外的功能，如重构和去除无用的代码。Fernflower还可以处理一些复杂的Java特性，如匿名内部类和Lambda表达式。

下载地址：http://the.bytecode.club/fernflower.jar

CFR（Common Flow Representation）是一个用于将Java字节码反编译为Java源代码的工具。它可以帮助开发人员理解和分析Java程序的工作原理，尤其是在没有源代码的情况下进行调试或逆向工程时非常有用。

CFR反编译工具具有以下特点：

1. 准确性：CFR能够尽可能准确地反编译Java字节码，生成与原始源代码类似的Java代码。
2. 易用性：CFR提供简单易用的命令行界面，使用方便。
3. 灵活性：CFR支持反编译多个版本的Java字节码，包括Java 8、Java 9等。
4. 开源免费：CFR是开源的软件，可以免费使用。

下载地址：http://www.benf.org/other/cfr/

六、java静态扫描工具

Fortify Static Code Analyzer（Fortify SCA）是一种静态代码分析工具，由HPE（现在被Micro Focus收购）开发。它旨在帮助软件开发人员和安全专家识别和修复应用程序中的安全漏洞和代码缺陷。

Fortify SCA 提供了以下主要功能：

1. 静态代码分析：对应用程序的源代码进行静态分析，以识别潜在的安全漏洞、漏洞模式和缺陷。
2. 安全审查：通过检查代码库中的安全问题，帮助团队发现和理解潜在的安全风险。
3. 漏洞报告：生成详细的漏洞报告，包括问题描述、定位信息和建议的修复措施。
4. 集成支持：Fortify SCA 可与现有的集成开发环境（IDE）和持续集成工具集成，支持自动化安全分析流程。
5. 漏洞跟踪：帮助开发团队跟踪和管理发现的安全问题，以便及时修复。

VCG（Visual Code Grepper）是一种代码审计工具，用于检测源代码中的安全漏洞和潜在的代码缺陷。它通过静态分析源代码来发现常见的安全问题，并生成相应的报告，以帮助开发人员和安全专家识别和修复这些问题。

VCG 代码审计工具具有以下主要功能：

1. 静态代码分析：对源代码进行静态分析，识别可能的安全漏洞、漏洞模式和潜在的代码缺陷。
2. 多语言支持：VCG 支持多种编程语言，包括Java、C/C++、C#、PHP、Python等，可以应用于各种项目和技术栈。
3. 自定义规则：VCG 允许用户定义自己的规则集，以满足特定的代码审计需求。
4. 漏洞报告：生成详细的漏洞报告，包括问题描述、定位信息和建议的修复措施。
5. 集成支持：VCG 可以与常见的集成开发环境（IDE）和持续集成工具集成，支持自动化代码审计流程。
6. 易于使用：VCG 提供直观的用户界面和简单的操作，使开发人员能够快速上手进行代码审计。

下载地址：https://sourceforge.net/projects/visualcodegrepp/

FindBugs 和 FindSecBugs 都是用于静态代码分析的插件，用于检测Java程序中的常见 bug、安全漏洞和潜在问题。它们可以帮助开发人员在早期阶段发现和修复代码中的一些常见问题，提高代码质量和安全性。

1. FindBugs:

1. FindBugs 是一个用于 Java 程序的静态分析工具，旨在识别代码中的 bug 和潜在问题。
2. FindBugs 可以检测出一些常见的编程错误，如空指针引用、资源未关闭、不安全的类型转换等。
3. FindBugs 提供了详细的报告，指出问题的位置，并给出修复建议。

2. FindSecBugs:

1. FindSecBugs 是基于 FindBugs 的一个插件，专注于发现 Java 代码中的安全漏洞。
2. FindSecBugs 提供了一系列规则，用于检测常见的安全问题，如 XSS 攻击、SQL 注入、敏感信息泄露等。
3. FindSecBugs 可以帮助开发人员在早期发现并修复潜在的安全漏洞，提高应用程序的安全性。

Find-sec-bugs官网：http://find-sec-bugs.github.io/bugs.htm

SpotBugs 是一款基于 FindBugs 的 Java 静态代码分析工具，旨在帮助开发人员和测试团队发现和修复 Java 程序中的 bug 和潜在问题。SpotBugs 可以检测出一些常见的编程错误、安全漏洞和潜在问题，如空指针引用、资源未关闭、不安全的类型转换、XSS 攻击、SQL 注入等。

SpotBugs 的特点包括：

1. 高效稳定：SpotBugs 在稳定性和效率方面表现良好，可以快速地对大型代码库进行静态代码分析。
2. 广泛适用：SpotBugs 可以应用于各种 Java 应用程序、框架和库，并支持多种 IDE 和构建工具。
3. 丰富的规则库：SpotBugs 提供了一个庞大的规则库，覆盖了各种编程错误、安全问题和最佳实践。
4. 易于扩展：SpotBugs 提供了一个可扩展的框架，允许用户编写自定义的规则和插件，以满足特定的需求。
5. 详细的报告输出：SpotBugs 生成详细的报告，指出问题的位置，并给出修复建议。

七、公开漏洞库

CVE（Common Vulnerabilities and Exposures）是一种公共漏洞和曝光标识符系统，旨在提供一个唯一的标识符来标识计算机安全漏洞和曝光。CVE 由 MITRE 公司于1999年创建，目的是为了改进计算机网络的安全性，促进漏洞的发现和修复。

CVE 平台的主要功能包括：

1. 标识漏洞：CVE 分配唯一的标识符（CVE ID）来标识已知的漏洞和曝光，以便各种安全工具和组织可以统一、精准地引用这些漏洞。
2. 公开信息：CVE 向公众发布漏洞的详细描述、分析和解决方案，以便用户和安全专家更好地了解和解决安全漏洞。
3. 协调合作：CVE 与其他漏洞信息库和组织进行协调，如 NVD（National Vulnerability Database）、CERT/CC（Computer Emergency Response Team Coordination Center）等，以促进漏洞信息的共享和协作。
4. 跟踪漏洞：CVE 跟踪已知漏洞的状态和修复情况，以便用户和安全专家了解漏洞是否得到了解决。

CVE 标识符的格式为 "CVE-年份-序号"，例如 CVE-2022-1234。每个漏洞都有一个唯一的标识符，并包含漏洞的描述、影响范围、等级评估和建议的解决方案等信息。

CVE 平台和 CVE ID 已成为全球安全行业的标准和基础，对于加强计算机网络的安全性和保护用户隐私具有重要的意义。

平台地址：https://cve.mitre.org/

National Vulnerability Database，美国国家计算机通用漏洞数据库，是权威的漏洞数据收集平台。

平台地址：https://nvd.nist.gov/products/cpe/search

CNVD（中国国家信息安全漏洞库）是由中国国家互联网应急中心（CNCERT）维护的一个安全漏洞信息库和平台。CNVD 旨在收集、整理和发布关于计算机网络和信息系统安全漏洞的信息，为政府部门、企业组织和个人用户提供及时的安全威胁情报和防护建议。

CNVD 平台的主要功能包括：

1. 漏洞公告：CNVD 定期发布各种软件、硬件和系统的安全漏洞公告，包括漏洞描述、影响范围、危害程度、修复建议等信息。
2. 安全通报：CNVD 发布安全通报和警示信息，提醒用户注意最新的安全威胁和漏洞风险，帮助用户及时采取防护措施。
3. 安全指南：CNVD 提供安全指南和建议，指导用户如何管理和加固信息系统的安全性，以及如何应对各类安全事件和攻击。
4. 漏洞查询：用户可以通过 CNVD 平台进行漏洞查询，查找特定软件或设备的已公开漏洞信息，以便及时修复漏洞并提升系统安全性。
5. 协同合作：CNVD 与国内外安全厂商、研究机构和行业组织合作，共同推动信息安全工作和漏洞治理，提升整个网络安全环境。

平台地址：https://www.cnvd.org.cn/

CNNVD（中国国家信息安全漏洞库）是中国国家互联网应急中心（CNCERT）负责运营的安全漏洞信息库和平台，而非CNVD。CNNVD 的主要任务是收集、整理和发布计算机网络和信息系统安全漏洞的信息，为用户提供及时的安全警报和漏洞修复建议。

CNNVD 平台的功能包括：

1. 漏洞公告：CNNVD 定期发布各种软件、硬件和系统的安全漏洞公告，包括漏洞描述、影响范围、危害等级、修复建议等信息。
2. 安全通报：CNNVD 发布安全通报和警示信息，提醒用户注意最新的安全威胁和漏洞风险，帮助用户及时采取防护措施。
3. 安全指南：CNNVD 提供安全指南和建议，指导用户如何管理和加固信息系统的安全性，以及如何应对各类安全事件和攻击。
4. 漏洞查询：用户可以通过 CNNVD 平台进行漏洞查询，查找特定软件或设备的已公开漏洞信息，以便及时修复漏洞并提升系统安全性。
5. 协同合作：CNNVD 与国内外安全厂商、研究机构和行业组织合作，共同推动信息安全工作和漏洞治理，提升整个网络安全环境。

平台地址：http://www.cnnvd.org.cn/

原文始发于微信公众号（钟毓安全）：代审辅助工具 简介