工具介绍
-
SecInspector为IDEA静态代码扫描插件,侧重于在编码过程中发现项目潜在的安全风险(一键搜索所有的sink点,替代传统control+F大法),部分漏洞并提供一键修复能力,提升安全攻防人员代码审计效率、开发人员代码安全质量
-
插件利用IDEA原生Inspection机制检查项目,自动检查当前活跃窗口的活跃文件,检查速度快,占用资源少,官方介绍:https://www.jetbrains.com/help/idea/inspections-settings.html#5
-
插件提供的规则名称均以"SecInspector"开头,由深信服深蓝实验室天威战队强力驱动
版本支持:Intellij IDEA ( Community / Ultimate ) >= 2021.3
IDEA "Settings" --> "Plugins",获取SecInspector.jar后,选中从本地磁盘安装该插件
使用:方法一
该插件会在您编码过程中自动扫描当前编辑的代码,并实时提醒安全风险
使用:方法二
IDEA 提供Inspect Code功能支持对整个项目/指定范围文件进行自定义规则的扫描
可以漏洞扫描需求,选中SecInspector规则
插件规则 覆盖常见的RCE、反序列化、SQL注入、JNDI注入、任意文件读取/写入等类型的sink点
以项目审计为例,反编译jar包后,把源码标记为Source Root,
扫描业务代码,跟踪该方法即可分析出rce的漏洞
点击关注下方名片进入公众号
回复关键字【240622】获取下载链接
原文始发于微信公众号(夜组安全):IDEA代码审计辅助插件(深信服深蓝实验室天威战队强力驱动)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论