免责声明:本公众号发布的资源和文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表渗透云笔记的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
工具地址:https://github.com/Chanzi-keji
赶个10月的尾巴,近期也是在后台接到了一位粉丝大哥的留言
(公众号留言板)
近期一直在搞终端安全和数据安全的内容,一些自己的兴趣爱好也就开始落下,话不多说。各位,看工具。
官方介绍
一、产品定位“铲子”是一款简单易用的JAVA SAST(静态应用程序安全测试)工具,旨在为安全工程师提供一款简单、好用、价格厚道的代码安全扫描产品。官网:www.chanzikeji.com二、功能介绍支持语言: java(Servlet&filter、spring、jfinal、netty、dubbo、thirft、mybatis、dropwizard、jdk内置httpserver、jsp,xml、yaml、properties等)采用技术:污点分析,铲子会将java、xml(mybatis、dubbo)等统一构建数据流图,无需编译,然后进行污点分析,漏洞结果可在数据流窗口进行方便的阅读支持漏洞:内置了 sql 注入、命令注入、文件上传、ssrf 等常见cwe漏洞规则,以及log4j、shiro、xstream、actuator等组件类漏洞规则导出报告:用户可对漏洞进行标记,并导出简单的漏洞报告,包括漏洞类型、危害等级、所在位置以及修复建议,帮助开发人员快速定位和解决问题反编译:支持反编译扫描,可以在新建任务时选择需要反编译的jar或class文件,也可以在审计过程中对单个class或jar文件进行反编译阅读代码编辑器:多功能代码编辑器,为了更方便的阅读代码,减少用户在sast工具及ide之前频繁切换,编辑器内置了类型、变量、方法的跳转及使用查找,快速搜索全仓库,及文件的代码大纲自定义规则:自定义规则采用cyber查询语言,用户学习门槛低,对于熟悉图数据库的同学可以快速上手注:扫描过程不会上传任何形式的代码数据到服务端,请放心使用三、工具的安装使用下载安装:访问“铲子”官方网站,根据您的操作系统选择合适的安装包进行下载并安装。配置环境:内置 java 运行环境,一键安装,无需配置。开始扫描:启动程序后,点击新建任务即可。查看结果:在漏洞窗口查看即可,可按需进行漏洞排序、筛选、标记等。查看报告:在任务栏右键导出报告即可。
产品特色
1、轻量的污点分析:轻量化的污点分析,可以更快捷的完成污点数据流图的构建,更简单的实现污点分析规则开发.
2、多功能代码编辑器:代码编辑器支持语法高亮、查找、变量及方法跳转到定义或使用、查看数据流上下游等功能.
3、内置规则+自定义规则:内置常见漏洞的扫描规则,您也可以根据自己的需求使用cyber查询语言开发自己的规则.
4、适配主流框架:铲子对java主流技术做了适配,包括spring、servlet、dubbo、thrift、mybatis、jsp等.
5、便捷的代码搜索:您可以在编辑器中搜索当前文件、也可以根据文件名称、文件内容搜索整个仓库.
6、支持反编译扫描:如果您没有java源代码,铲子也支持对jar、class文件开启反编译扫描,并将漏洞定位到反编译后的java代码.
工具官网
官网:www.chanzikeji.com工具链接地址:https://github.com/Chanzi-keji/chanzi
该工具建议搭建在虚拟机中,方便、安全、可回溯
当然该工具分为两种一是收费的,二是免费的,免费版本我看够用,收费也只是规则开发指导。
(官网收费截图)
使用文档:https://github.com/Chanzi-keji/chanzi/wiki
本人测试调研过程
搭建过程相对简单,过程如下:
1、搭建过程
直接虚拟机安装即可,安装完成后桌面出现图标
2、双击打开(打不开的情况,请使用管理员权限)
这里遇到了虚拟机卡死的状况,看GitHub 比较吃配置,就调整下虚拟机配置如下
软件界面如下
使用测试如下
在添加任务的时候,需要登陆微信
可能是为了后续的收费,方便计算
使用靶场测试:https://github.com/JoyChou93/java-sec-code
添加任务
效果如下:
跟踪
全世界只有不到3 %的人关注了渗透云笔记
你真是个特别的人
原文始发于微信公众号(渗透云笔记):每个新的工具,都应该有流量曝光-静态应用程序安全测试工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论