#############################
免责声明:工具本身并无好坏,希望大家以遵守《网络安全法》相关法律为前提来使用该工具,支持研究学习,切勿用于非法犯罪活动,对于恶意使用该工具造成的损失,和本人及开发者无关。
##############################
简介
Dependency-Check 是一个开源的安全漏洞扫描工具,用于检查应用程序和依赖项中的已知漏洞。它可以扫描各种编程语言的依赖项,如Java、Python、.NET等,并根据公开的漏洞数据库,如NVD、OSV等,检查依赖项的版本是否存在已知的安全漏洞。
cli
dependency-check.sh支持的参数:--advancedHelp:打印高级帮助信息。--enableExperimental:启用实验性的分析器。--exclude :指定一个排除模式。可以多次指定此选项,并接受 Ant 风格的排除。-f,--format :指定报告格式(HTML、XML、CSV、JSON、JUNIT、SARIF、JENKINS 或 ALL)。默认为 HTML。可以指定多个格式参数。--failOnCVSS :指定如果检测到 CVSS 分数高于指定级别的漏洞,构建是否应该失败。默认为 11;由于 CVSS 分数为 0-10,因此默认情况下构建永远不会失败。-h,--help:打印帮助信息。--junitFailOnCVSS :指定在生成 junit 报告时,被认为是失败的 CVSS 分数。默认值为 0。-l,--log :写入详细日志信息的文件路径。-n,--noupdate:禁用自动更新 NVD-CVE、hosted-suppressions 和 RetireJS 数据。-o,--out :写入报告的文件夹路径。默认为当前目录。如果未将格式参数设置为 ALL,则可以将其设置为特定的文件名。--prettyPrint:指定 JSON 和 XML 报告格式将被漂亮地打印。--project :正在扫描的项目的名称。-s,--scan :要扫描的路径 - 可以多次指定此选项。支持 Ant 风格的路径(例如,'path/**/*.jar');如果使用 Ant 风格的路径,则强烈建议将参数值用引号引起来。--suppression :抑制 XML 文件的文件路径。可以多次指定此选项以使用多个抑制文件。-v,--version:打印版本信息。
对webgoat7的组件进行扫描
https://github.com/mpogr/WebGoat-7.0.1
./dependency-check.sh -s /tmp/WebGoat-7.0.1/ --project webgoat
输出扫描报告,没有扫描到有用的东西。
下载地址:https://github.com/jeremylong/DependencyCheck
原文始发于微信公众号(菜鸟小新):Dependency Check:开源安全漏洞扫描工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论