网安引领时代,弥天点亮未来
1.Fortify确实是一个比较牛逼的源码缺陷扫描工具,但是很多部门或者公司比较穷,预算有限,用的是破解版本,风险高。
2.Gitee(码云)对于免费用户很友好,可以免费使用某代码卫士的引擎检测源码漏洞。
3.操作步骤如下,先把源码上传到仓库(现在默认私有不会公开出去的)。
4.可以使用服务->某代码卫士->创建分析。
5.然后再选择引擎,好像白嫖的只支持Java和Php,但是足够了,因为现在Java网站很多,已经满足大部分白嫖党的需求了。
6.等扫描结束之后就是仪表盘,点击缺陷数量。
7.会跳转到扫描详情。
8.然后再访问:
https://codescan.qianxin.com/#/codeCheck/code-check-list。
9.使用当前登录的帐号700264添加的扫描任务是要扣次数的。
10.如果从仓库添加的扫描任务,添加任务的是osc帐号,不会扣自己帐号次数的。
11.自己写了一段有漏洞的代码,扔进去扫一扫。
12.实际检测效果。
13.虽然免费用户只能检测Php和Java,但是白嫖的不能要求太多。
14.如果升级成gitee企业用户的价钱比Fortify价格低的情况下,还是很划算的,毕竟gitee企业用户不光有源码缺陷扫描的功能。
15.欢迎大家关注弥天安全实验室公众号。
知识分享完了
喜欢别忘了关注我们哦~
学海浩茫,
弥 天
安全实验室
原文始发于微信公众号(弥天安全实验室):白嫖某代码卫士Java和Php代码审计指南
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论