Corax社区版更新至v2.14版本。
详情可参考:
https://github.com/Feysh-Group/corax-community/releases/tag/v2.14
Corax社区版
github (主仓库):
https://github.com/Feysh-Group/corax-community
gitee (国内访问):
https://gitee.com/feysh-inc/corax-community
本次Change log具体内容如下:
01
支持直接根据 jar 文件名以获取 dependency library 版本信息。console中会打印依赖库版本信息和规则激活条件evaluate结果
02
新特性
增加打印全部规则id功能,增加参数 -subtools true --list-rules
03
新特性
增加 analysis unit : endpoint-path-printer 在分析结束后,会产生 spring mapping url path 和 bean types 信息到{output}/checker/endpoint-path/web-request-mapping-paths.txt
04
新特性
支持参数控制 PreAnalysis、AIAnalysis 单独执行, 参数映射如下
-
PreAnalysis:--disable-pre-analysis
-
AIAnalysis:--enable-data-flow true
-
Built-in Analysis:--disable-built-in-analysis (引擎内置规则)
05
新特性
Analysis API扩展:
-
增加 com.feysh.corax.config.api.report.Region 类,可极其方便地将soot、cpg、Javaparser、regex metches result 结构转换为位置信息
-
PreAnalysisUnit -> SourceFileCheckPoint 增加 relativePath 字段
-
PreAnalysisApi 增加了多个易用的report报告接口
-
扩展xml解析api,参考 corax-config-general/src/main/kotlin/com/feysh/corax/config/general/utils/XmlUtils.kt 和 corax-config-general/src/main/kotlin/com/feysh/corax/config/general/utils/PositionalXMLReader.kt
06
改进
完善了大量检查器,增加了精准度减少了漏报:
-
XXE
-
SSTI
-
Http Parameter Pollution
-
Log4j Injection
-
Jackson Unsafe Deserialization
-
Sql Injection
-
Spring Csrf Protection Disabled
-
PermissiveCors
-
Ldap Injection
-
Weak Ssl Context
-
Path Traversal
07
改进
修复与容器、数组、Map、Mybatis xml解析、循环场景、多source场景有关的漏报问题。
08
改进
修复部分bug
Corax社区版还在不断更新中,欢迎通过以下方式向我们提交bug和需求:
○ 通过github issue
○ 发送邮件至[email protected]
○ 添加Corax社区助手微信号“corax_co”邀您进群
往期Corax社区版介绍文章
✦
往期推荐
蜚语科技与灵缇互娱达成战略合作:守护平台安全壁垒
机载软件适航测试技术也需要自主可控
蜚语科技上榜“汽车网络与数据安全行业全图景首批入选单位”
Corax稳定版更新日志-v3.11
蜚语科技是一家专注于提供软件供应链安全创新解决方案的网络安全企业,成立于2019年。蜚语科技孵化自上海交通大学计算机系,创始团队由4名博士组成,拥有十数年的前沿安全研究和一线安全业务经验。蜚语科技扎根左移安全开发赛道,深耕企业安全服务市场,以自动化程序分析技术为核心,致力于探索软件供应链安全的新场景和新边界。蜚语科技现已完成多轮融资,服务于众多世界500强、高科技与互联网公司。得益于客户与资本市场的信任,蜚语科技正处在快速增长之中。
蜚语官网
Corax开源版
原文始发于微信公众号(蜚语科技):Corax社区版更新至v2.14
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论