审计工具之各种插件

除了像前面介绍的 fortify,tabby,这些工具以外，还有一些插件工具，也是可以拿来做审计辅助。

大部分插件工具都是放在 idea 上，当然也有一些插件是 vs 上，这里先介绍 idea 审计插件工具.

今天主要介绍两个 idea 插件工具。

iast-动态代码审计工具

洞态 iast。它通过使用部署在 Web 应用程序上的 Agent 来监控运行时发送的流量并分析流量流以实时识别安全漏洞。

（简单来说，就是你在 web 项目上各个功能路径点啊点啊，输入一些奇怪字符，根据程序运行流然后如果触发到漏洞函数插桩的地方就会识别。）

项目地址：

https://github.com/HXSecurity/DongTai ( https://github.com/HXSecurity/DongTai )

项目部署：

https://doc.dongtai.io/docs/introduction ( https://doc.dongtai.io/docs/introduction )

我主要是用过这个。我感觉很吃内存，我虚拟机太容易崩了。你可以使用 docker 部署一个 server。还要找售前要一个 token。大家可以试试，（中小型项目可以试试玩玩，）

部署可参考：

https://www.cnblogs.com/wavesky/p/16479189.html ( https://www.cnblogs.com/wavesky/p/16479189.html )

https://www.freebuf.com/sectool/371300.html ( https://www.freebuf.com/sectool/371300.html )

实际效果：

https://blog.csdn.net/weixin_40418457/article/details/119151763 ( https://blog.csdn.net/weixin_40418457/article/details/119151763 )

静态代码安全审计

MOMO Code Sec Inspector ，主要是可以检测缺陷/漏洞代码，然后提供修复代码。

这个插件我没有用过。有空也试试

项目地址：gitee.com/mirrors/momo-code-sec-inspector-java

原文始发于微信公众号（天才少女Alpha）：审计工具之各种插件