【IDEA插件分享】SecInspector

admin 2024年7月1日23:47:45评论8 views字数 725阅读2分25秒阅读模式

点击蓝字关注我们

SecInspector

介绍

  • SecInspector为IDEA静态代码扫描插件,侧重于在编码过程中发现项目潜在的安全风险(一键搜索所有的sink点,替代传统control+F大法),部分漏洞并提供一键修复能力,提升安全攻防人员代码审计效率、开发人员代码安全质量。
  • 插件利用IDEA原生Inspection机制检查项目,自动检查当前活跃窗口的活跃文件,检查速度快,占用资源少。

版本支持

Intellij IDEA ( Community / Ultimate ) >= 2021.3

安装使用

IDEA "Settings" --> "Plugins",获取inspector后,选中从本地磁盘安装该插件,安装完成之后需要重启IDEA。

【IDEA插件分享】SecInspector

使用:方法一

该插件会在编码过程中自动扫描当前编辑的代码,并实时提醒安全风险

【IDEA插件分享】SecInspector

使用:方法二

IDEA 提供Inspect Code功能支持对整个项目/指定范围文件进行自定义规则的扫描

【IDEA插件分享】SecInspector
【IDEA插件分享】SecInspector

可以漏洞扫描需求,选中SecInspector规则

【IDEA插件分享】SecInspector

插件规则 覆盖常见的RCE、反序列化、SQL注入、JNDI注入、任意文件读取/写入等类型的sink

【IDEA插件分享】SecInspector

项目实战

很多代码审计文章都是事先找到漏洞,打断点调试代码,在笔者看来这压根不是代码审计,是IDEA帮你跑流程。对于分析漏洞没有很大的帮助,也无法提高代码审计水平。该插件可帮助从业人员减少手工操作寻找slnk点,手工跟踪数据流,进而发现漏洞。

以项目审计为例,扫描业务代码,跟踪该方法即可分析出漏洞

【IDEA插件分享】SecInspector

跟踪代码到controller

【IDEA插件分享】SecInspector

黑盒验证

【IDEA插件分享】SecInspector

工具获取

https://github.com/KimJun1010/inspector

原文始发于微信公众号(TimeAxis Sec):【IDEA插件分享】SecInspector

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月1日23:47:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【IDEA插件分享】SecInspectorhttp://cn-sec.com/archives/2905727.html

发表评论

匿名网友 填写信息