一、产品介绍
-
支持语言: java(webservlet、spring mvc、dubbo、mybatis、thrift、jsp等)
-
采用技术:轻量级污点分析,铲子会将java、jsp、xml、yaml、properties等文件分析并构建数据流图(无需编译),然后进行污点分析。
-
支持漏洞:内置了 sql 注入、命令注入、文件上传、ssrf 等常见漏洞规则,用户可以自定义规则。
-
扫描报告:生成简单的漏洞报告,包括漏洞类型、风险等级、漏洞位置及数据流,帮助开发人员快速定位和解决问题。
-
其他特性:反编译扫描、跳转到类型/定义、变量的数据流上下游跳转、代码大纲、代码检索、漏洞标记等。
二、产品心得
该代审工具可以免费使用,安装方便,使用方法简单,可以直观的看到漏洞点出现在哪里,以及漏洞利用链跟踪都挺不错的,对代审新手比较友好,适合新手进行代码审计学习。
可根据左边的漏洞链一步步跟踪漏洞过程,可直观的还原整个漏洞利用过程,还可以根据对应的漏洞修复建议进行修复。
三、最新版本下载
下载安装:访问”铲子“官方网站www.chanzikeji.com,选择合适的安装包进行下载并安装。
github下载地址
https://github.com/Chanzi-keji/chanzi/releases
windows系统直接下载该文件安装即可
原文始发于微信公众号(有恒安全):代码审计工具推荐-铲子 SAST
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论