Corax社区版更新至v2.14

admin 2024年9月27日15:47:28评论11 views字数 1859阅读6分11秒阅读模式
Corax社区版更新至v2.14

Corax社区版更新至v2.14版本。

详情可参考:

https://github.com/Feysh-Group/corax-community/releases/tag/v2.14

Corax社区版

github (主仓库):

https://github.com/Feysh-Group/corax-community

gitee (国内访问):

https://gitee.com/feysh-inc/corax-community

本次Change log具体内容如下:

01

新特性

支持直接根据 jar 文件名以获取 dependency library 版本信息。console中会打印依赖库版本信息和规则激活条件evaluate结果

02

新特性

增加打印全部规则id功能,增加参数 -subtools true --list-rules

03

新特性

增加 analysis unit : endpoint-path-printer 在分析结束后,会产生 spring mapping url path 和 bean types 信息到{output}/checker/endpoint-path/web-request-mapping-paths.txt

04

新特性

支持参数控制 PreAnalysis、AIAnalysis 单独执行, 参数映射如下

    1. PreAnalysis:--disable-pre-analysis

    2. AIAnalysis:--enable-data-flow true

    3. Built-in Analysis:--disable-built-in-analysis (引擎内置规则)

05

新特性

Analysis API扩展:

    1. 增加 com.feysh.corax.config.api.report.Region 类,可极其方便地将soot、cpg、Javaparser、regex metches result 结构转换为位置信息

    2. PreAnalysisUnit -> SourceFileCheckPoint 增加 relativePath 字段

    3. PreAnalysisApi 增加了多个易用的report报告接口

    4. 扩展xml解析api,参考 corax-config-general/src/main/kotlin/com/feysh/corax/config/general/utils/XmlUtils.kt 和 corax-config-general/src/main/kotlin/com/feysh/corax/config/general/utils/PositionalXMLReader.kt

06

改进

完善了大量检查器,增加了精准度减少了漏报:

    1. XXE

    2. SSTI

    3. Http Parameter Pollution

    4. Log4j Injection

    5. Jackson Unsafe Deserialization

    6. Sql Injection

    7. Spring Csrf Protection Disabled

    8. PermissiveCors

    9. Ldap Injection

    10. Weak Ssl Context

    11. Path Traversal

07

改进

修复与容器、数组、Map、Mybatis xml解析、循环场景多source场景有关的漏报问题。

08

改进

修复部分bug

Corax社区版还在不断更新中,欢迎通过以下方式向我们提交bug和需求:

○ 通过github issue

○ 发送邮件至[email protected]

○ 添加Corax社区助手微信号“corax_co”邀您进群

往期Corax社区版介绍文章

Corax社区版更新v2.8,引入CPG分析框架支持

新增21条重要漏洞检测规则,Corax社区版更新2.5版本

Java 代码静态安全分析工具–CoraxJava

 往期推荐 

Corax社区版更新至v2.14

蜚语科技与灵缇互娱达成战略合作:守护平台安全壁垒

Corax社区版更新至v2.14

机载软件适航测试技术也需要自主可控

Corax社区版更新至v2.14

蜚语科技上榜“汽车网络与数据安全行业全图景首批入选单位”

Corax社区版更新至v2.14

Corax稳定版更新日志-v3.11

蜚语科技是一家专注于提供软件供应链安全创新解决方案的网络安全企业,成立于2019年。蜚语科技孵化自上海交通大学计算机系,创始团队由4名博士组成,拥有十数年的前沿安全研究和一线安全业务经验。蜚语科技扎根左移安全开发赛道,深耕企业安全服务市场,以自动化程序分析技术为核心,致力于探索软件供应链安全的新场景和新边界。蜚语科技现已完成多轮融资,服务于众多世界500强、高科技与互联网公司。得益于客户与资本市场的信任,蜚语科技正处在快速增长之中。

Corax社区版更新至v2.14

蜚语官网

Corax社区版更新至v2.14

Corax开源版

原文始发于微信公众号(蜚语科技):Corax社区版更新至v2.14

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月27日15:47:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Corax社区版更新至v2.14https://cn-sec.com/archives/3112594.html

发表评论

匿名网友 填写信息