白盒代码安全审计系统及静态 php 代码审计

admin 2024年9月17日02:02:59评论16 views字数 1970阅读6分34秒阅读模式
白盒代码安全审计系统
Cobra   
白盒代码安全审计系统及静态 php 代码审计
该项目设计已无法实现当前白盒扫描要求,已不在维护,仅做研究使用,请勿在生产环境使用

01

介绍

 Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码中的大部分显著的安全问题和漏洞。
02
特点
Multi-language Supported(支持多种开发语言)

支持PHP、Java等开发语言,并支持数十种类型文件。

Multi-Vulnerabilities Supported(支持多种漏洞类型)

首批开放数万条不安全的依赖检查规则和数十条代码安全扫描规则,后续将持续开放更多扫描规则。

GUI/CLI/API Mode(命令行模式和API模式)

提供本地Web Server服务,可使用GUI可视化操作,也可支持本地API接口,方便和其它系统(发布系统、CI等)对接扩展。

03
截图
定位于静态代码安全分析的工具目标是
找出源代码中存在的安全隐患或者漏洞

[ 眼镜蛇 ]
白盒代码安全审计系统及静态 php 代码审计

白盒代码安全审计系统及静态 php 代码审计

04
Cobra的部署安装
#下载Python3.6安装包wget https://www.python.org/ftp/python/3.6.1/Python-3.6.1.tgz#安装python3 mkdir -p /usr/local/python3 #安装在/usr/local/python3,创建目录tar -zxvf Python-3.6.1.tgz  #解压下载好的Python-3.x.x.tgz包#进入解压后的目录,编译安装 cd Python-3.6.1 ./configure --prefix=/usr/local/python3make  #makemake install  #make installln -s /usr/local/python3/bin/python3 /usr/bin/python3 #建立软连接export PATH=/usr/local/python3/bin:$PATH #加入到PATH
05
安装Cobra
#安装依赖python3 -m pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple -r requirements.txt#生成配置文件mv config.template config#后台启动扫描python3 cobra.py -t /home/newsrcpython3 cobra.py -t /home/newsrc -f json -o /tmp/report.jsonpython3  cobra.py -H 0.0.0.0 -P 5000 #web版本启动

点击右侧,即可查看项目地址 https://github.com/wufeifei/cobra

静态 php 代码审计
phpvulhunter 
phpvulhunter是一款PHP源码自动化审计工具,通过这个工具,可以对一些开源CMS进行自动化的代码审计,并生成漏洞报告。
01

安装 首先从github上进行获取:

git clone https://github.com/OneSourceCat/phpvulhunter

白盒代码安全审计系统及静态 php 代码审计

02

下载完成后,将工程目录放置于WAMP等PHP-Web运行环境中即可访问main.php:

http://127.0.0.1/phpvulhunter/main.php

白盒代码安全审计系统及静态 php 代码审计

白盒代码安全审计系统及静态 php 代码审计

03

使用 搭建好环境,访问main.php后,效果如下:

白盒代码安全审计系统及静态 php 代码审计

有几个参数需要填写:

Project Path:需要扫描的工程绝对路径(文件夹)

File Path:需要扫描的文件绝对路径(文件或者文件夹)

Vuln Turp:扫描的漏洞类型,默认为ALL

Encoding:CMS的编码类型

如果需要扫描整个工程,则Project Path与File Path填写一致即可。对于大的工程,由于代码量较多且内部引用复杂,所以可能会占用较多的CPU资源、花费较长的时间才能扫描完成。

配置好参数之后,点击scan按钮即可进行扫描,扫描中效果如下:

扫描报告 扫描完成后,就会生成扫描报告,具体如下:  相关参数含义如下:

File Path:出现漏洞的文件绝对路径

Vlun Type:漏洞的类型

Sink Call:危险函数调用的位置

Sensitive Arg:最后跟踪到的危险参数

查看代码时,点击Code Viewer即可:  ##关于Bug和维护 由于作者马上面临实习,单靠个人精力已无力继续维护下去,因此可能会在扫描中出现bug。如果你有兴趣和足够的精力继续扩展与修正,并有信心能够应对大量繁琐的调试与扩展工作,请联系下面的邮箱索要详细的设计与实现文档。

Exploit:[email protected]

xyw55:[email protected]

点击右侧,即可查看项目地址 https://github.com/wufeifei/cobra

原文始发于微信公众号(Urkc安全):白盒代码安全审计系统及静态 php 代码审计

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月17日02:02:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   白盒代码安全审计系统及静态 php 代码审计https://cn-sec.com/archives/3174624.html

发表评论

匿名网友 填写信息