0x01 工具介绍
镜花是一款基于 AI 技术的代码安全审计工具,它能帮助开发者快速发现代码中的潜在安全漏洞。无论是PHP、Java、Python、还是JavaScript等多种编程语言,镜花都可以进行深度分析。
其核心功能包括对依赖分析、函数调用追踪、变量使用情况等的全面检查,同时支持安全审计框架如Spring、Django、Express.js等,确保应用程序的每一行代码都能通过安全性验证。通过采用先进的分析架构和大模型支持,镜花能大幅提升您的开发效率。
注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️"否则可能就看不到了啦!
下载地址:https://github.com/Ky0toFu/Mirror-Flowers
0x02 功能简介
界面截图:
支持的API接口
FREEGPTAPI:https://github.com/popjane/free_chatgpt_api
SiliconFlow:https://cloud.siliconflow.cn/i/JzMCyiJ3
如需要使用GPT大模型则使用FREEGPTAPI,使用DeepSeek-R1大模型则使用SiliconFlow API。
SiliconFlow(硅基流动)注册可免费领取14元使用额度,可通过SMS接码平台注册账号,理论可无限免费使用API KEY。
多语言支持
- PHP
- Java
- Python
- JavaScript
依赖分析
- Maven (pom.xml)
- NPM (package.json)
- Python (requirements.txt)
- Composer (composer.json)
框架安全分析
-
Spring Framework
- Spring Security配置审计
- 权限控制检查
- CSRF/XSS防护
- 跨域配置检查
-
Django
- 中间件配置检查
- CSRF Token验证
- XSS防护配置
- 调试模式检查
-
Express.js
- 安全中间件配置
- 认证机制检查
- CORS配置审计
- 输入验证检查
-
Hibernate
- HQL注入检测
- 缓存配置审计
- 实体验证检查
- 会话管理检查
安全检查特性
PHP安全检查
- 文件包含漏洞(include/require)
- SQL注入(mysql_*函数)
- 命令注入(system, exec, shell_exec)
- 文件上传漏洞
- 反序列化漏洞(unserialize)
- XSS(echo, print)
- SSRF漏洞
- 目录遍历
- 会话管理问题
- 配置文件泄露
Java安全检查
- SQL注入(PreparedStatement相关)
- 命令注入(Runtime.exec, ProcessBuilder)
- XXE漏洞(XML解析器配置)
- 反序列化漏洞(readObject)
- 不安全的文件操作
- CSRF/XSS防护
- 权限控制缺陷
- 线程安全问题
- 密码学实现缺陷
- 日志信息泄露
Python安全检查
- 不安全的反序列化(pickle.loads, yaml.load)
- 命令注入(os.system, eval, exec, subprocess)
- 不安全的模块导入(import)
- SQL注入(字符串格式化, execute)
- 路径遍历(open, os.path)
- 模板注入(render_template_string)
- 密码学实现问题(weak random)
- 环境变量泄露
- 调试配置泄露
- 不安全的依赖加载
JavaScript安全检查
- XSS(DOM型和反射型)
- 原型污染
- 不安全的第三方依赖
- 客户端存储安全
- 不安全的随机数生成
- CSRF防护缺失
- 跨域配置问题
- 敏感信息泄露
- 不安全的正则表达式
- 事件监听器泄露
分析器组件
- TaintAnalyzer: 污点分析和数据流追踪
- SecurityAnalyzer: 通用安全问题检测
- DependencyAnalyzer: 依赖组件安全分析
- FrameworkAnalyzer: 框架特定安全检查
- ConfigAnalyzer: 配置文件安全分析
- ContextAnalyzer: 上下文感知分
0x03更新说明
2024-02-11完善了Python代码分析功能:添加了完整的依赖分析,支持追踪导入关系和别名增强了函数调用分析,支持类方法和实例方法的调用追踪添加了变量使用分析,支持追踪全局变量和实例变量改进了类继承分析,支持多级继承路径分析优化了分析器架构:使用访问者模式重构了代码分析逻辑添加了类型提示和详细文档改进了错误处理机制
0x04 使用介绍
安装和配置
Python 3.8+FastAPINode.js (前端开发)
快速开始
1.克隆项目
git clone https://github.com/Ky0toFu/Mirror-Flowers.gitcd Mirror-Flowers
2.安装依赖
pip install -r requirements.txt3.配置环境变量
OPENAI_API_KEY=your_api_key_hereOPENAI_API_BASE=your_api_base_urlOPENAI_MODEL=your_preferred_model
4.启动服务
uvicorn backend.app:app --reload注意事项
- 文件大小限制:10MB
- 支持的文件类型:.php, .java, .py, .js
- API密钥安全:请妥善保管API密钥
- 分析时间:大型项目可能需要较长时间
- 结果验证:建议结合人工审查
- API配置问题:如果提示"API配置更新错误"或"不存在某个模型",请检查API Base URL格式,尝试在URL后添加/v1或删除/v1
例如:
https://api.example.com 或 https://api.example.com/v10x05 下载
https://github.com/Ky0toFu/Mirror-Flowers
原文始发于微信公众号(渗透安全HackTwo):MirrorFlower AI代码审计工具支持PHP/Java等多语言的智能漏洞扫描审计|代码审计
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论