点击蓝字关注我们

SecInspector

介绍

• SecInspector为IDEA静态代码扫描插件，侧重于在编码过程中发现项目潜在的安全风险（一键搜索所有的sink点，替代传统control+F大法），部分漏洞并提供一键修复能力，提升安全攻防人员代码审计效率、开发人员代码安全质量。
• 插件利用IDEA原生Inspection机制检查项目，自动检查当前活跃窗口的活跃文件，检查速度快，占用资源少。

版本支持

Intellij IDEA ( Community / Ultimate ) >= 2021.3

安装使用

IDEA "Settings" --> "Plugins"，获取inspector后，选中从本地磁盘安装该插件，安装完成之后需要重启IDEA。

使用：方法一

该插件会在编码过程中自动扫描当前编辑的代码，并实时提醒安全风险

使用：方法二

IDEA 提供Inspect Code功能支持对整个项目/指定范围文件进行自定义规则的扫描

可以漏洞扫描需求，选中SecInspector规则

插件规则 覆盖常见的RCE、反序列化、SQL注入、JNDI注入、任意文件读取/写入等类型的sink点

项目实战

很多代码审计文章都是事先找到漏洞，打断点调试代码，在笔者看来这压根不是代码审计，是IDEA帮你跑流程。对于分析漏洞没有很大的帮助，也无法提高代码审计水平。该插件可帮助从业人员减少手工操作寻找slnk点，手工跟踪数据流，进而发现漏洞。

以项目审计为例，扫描业务代码，跟踪该方法即可分析出漏洞

跟踪代码到controller

黑盒验证

工具获取

https://github.com/KimJun1010/inspector