代码审计辅助工具开源发布:CodeStringSearcher

admin
admin
admin
138858
文章
114
评论
2024年11月11日13:38:13评论9 views字数 776阅读2分35秒阅读模式

工具一开始是为了方便我审计.Net源码才写的,平时代码审计时候要反编译DLL文件,再一个个手动去搜索确认漏洞,属实是有点吃力不讨好,于是就抽空用Java写了个代码审计辅助工具。

工具主要是批量去检测文件夹下所有.cs或.java源码中,是否包含给出的关键字符串,然后再输出上下文代码和方法中的利用链,方便快速节省时间参考www.code4th.cn下载工具。

下载

https://github.com/youki992/CodeStringSearcher

使用说明

在config.properties中配置源码所在文件夹、源码输出文件夹、搜索字符串 分别对应配置字段:csDirectory、outputDirectory、searchText

csDirectory=C:\Users\xxxx

outputDirectory=C:\Users\xxxx\outputsearchText=where,Concat,...

searchText可以配置多个字符串关键字,并用,号进行分割 指定配置文件执行jar

文件后,在输出文件夹中对每个方法输出结果文件

代码审计辅助工具开源发布:CodeStringSearcher 代码审计辅助工具开源发布:CodeStringSearcher

每个文件中记录了方法名称和方法中的利用链,还会展示上下文5行代码,更加直观的显示如下指定关键字为MapFilePath,搜索出相关代码的效果

代码审计辅助工具开源发布:CodeStringSearcher

效果预览

在config.properties中指定searchText为where,查询where关键字筛选可能存在SQL注入的代码

代码审计辅助工具开源发布:CodeStringSearcher

之后进到对应方法中查看,发现存在参数拼接到SQL语句中的情况

代码审计辅助工具开源发布:CodeStringSearcher

最后根据方法构造POC,验证注入

代码审计辅助工具开源发布:CodeStringSearcher

本工具由Code4th安全团队开发维护

代码审计辅助工具开源发布:CodeStringSearcher

团队公开群

  • QQ群一群(772375860)
END

关注Code4th安全团队

了解更多安全相关内容~

原文始发于微信公众号(Code4th安全团队):代码审计辅助工具开源发布:CodeStringSearcher

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日13:38:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   代码审计辅助工具开源发布:CodeStringSearcherhttp://cn-sec.com/archives/3381142.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息