MirrorFlower AI代码审计工具支持PHP/Java等多语言的智能漏洞扫描审计

admin 2025年2月12日08:46:51评论41 views字数 2385阅读7分57秒阅读模式

0x01 工具介绍

镜花是一款基于 AI 技术的代码安全审计工具,它能帮助开发者快速发现代码中的潜在安全漏洞。无论是PHP、Java、Python、还是JavaScript等多种编程语言,镜花都可以进行深度分析。

其核心功能包括对依赖分析、函数调用追踪、变量使用情况等的全面检查,同时支持安全审计框架如Spring、Django、Express.js等,确保应用程序的每一行代码都能通过安全性验证。通过采用先进的分析架构和大模型支持,镜花能大幅提升您的开发效率。

注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️"则可能就看不到了啦!

下载地址:https://github.com/Ky0toFu/Mirror-Flowers

0x02 功能简介

界面截图:

MirrorFlower AI代码审计工具支持PHP/Java等多语言的智能漏洞扫描审计

支持的API接口

FREEGPTAPI:https://github.com/popjane/free_chatgpt_api

SiliconFlow:https://cloud.siliconflow.cn/i/JzMCyiJ3

如需要使用GPT大模型则使用FREEGPTAPI,使用DeepSeek-R1大模型则使用SiliconFlow API。

SiliconFlow(硅基流动)注册可免费领取14元使用额度,可通过SMS接码平台注册账号,理论可无限免费使用API KEY。

多语言支持

  • PHP
  • Java
  • Python
  • JavaScript

依赖分析

  • Maven (pom.xml)
  • NPM (package.json)
  • Python (requirements.txt)
  • Composer (composer.json)

框架安全分析

  • Spring Framework

    • Spring Security配置审计
    • 权限控制检查
    • CSRF/XSS防护
    • 跨域配置检查
  • Django

    • 中间件配置检查
    • CSRF Token验证
    • XSS防护配置
    • 调试模式检查
  • Express.js

    • 安全中间件配置
    • 认证机制检查
    • CORS配置审计
    • 输入验证检查
  • Hibernate

    • HQL注入检测
    • 缓存配置审计
    • 实体验证检查
    • 会话管理检查

安全检查特性

PHP安全检查

  • 文件包含漏洞(include/require)
  • SQL注入(mysql_*函数)
  • 命令注入(system, exec, shell_exec)
  • 文件上传漏洞
  • 反序列化漏洞(unserialize)
  • XSS(echo, print)
  • SSRF漏洞
  • 目录遍历
  • 会话管理问题
  • 配置文件泄露

Java安全检查

  • SQL注入(PreparedStatement相关)
  • 命令注入(Runtime.exec, ProcessBuilder)
  • XXE漏洞(XML解析器配置)
  • 反序列化漏洞(readObject)
  • 不安全的文件操作
  • CSRF/XSS防护
  • 权限控制缺陷
  • 线程安全问题
  • 密码学实现缺陷
  • 日志信息泄露

Python安全检查

  • 不安全的反序列化(pickle.loads, yaml.load)
  • 命令注入(os.system, eval, exec, subprocess)
  • 不安全的模块导入(import)
  • SQL注入(字符串格式化, execute)
  • 路径遍历(open, os.path)
  • 模板注入(render_template_string)
  • 密码学实现问题(weak random)
  • 环境变量泄露
  • 调试配置泄露
  • 不安全的依赖加载

JavaScript安全检查

  • XSS(DOM型和反射型)
  • 原型污染
  • 不安全的第三方依赖
  • 客户端存储安全
  • 不安全的随机数生成
  • CSRF防护缺失
  • 跨域配置问题
  • 敏感信息泄露
  • 不安全的正则表达式
  • 事件监听器泄露

分析器组件

  • TaintAnalyzer: 污点分析和数据流追踪
  • SecurityAnalyzer: 通用安全问题检测
  • DependencyAnalyzer: 依赖组件安全分析
  • FrameworkAnalyzer: 框架特定安全检查
  • ConfigAnalyzer: 配置文件安全分析
  • ContextAnalyzer: 上下文感知分

0x03更新说明

2024-02-11完善了Python代码分析功能:添加了完整的依赖分析,支持追踪导入关系和别名增强了函数调用分析,支持类方法和实例方法的调用追踪添加了变量使用分析,支持追踪全局变量和实例变量改进了类继承分析,支持多级继承路径分析优化了分析器架构:使用访问者模式重构了代码分析逻辑添加了类型提示和详细文档改进了错误处理机制

0x04 使用介绍

安装和配置

Python 3.8+FastAPINode.js (前端开发)

快速开始

1.克隆项目

git clone https://github.com/Ky0toFu/Mirror-Flowers.gitcd Mirror-Flowers

2.安装依赖

pip install -r requirements.txt

3.配置环境变量

OPENAI_API_KEY=your_api_key_hereOPENAI_API_BASE=your_api_base_urlOPENAI_MODEL=your_preferred_model

4.启动服务

uvicorn backend.app:app --reload

注意事项

  1. 文件大小限制:10MB
  2. 支持的文件类型:.php, .java, .py, .js
  3. API密钥安全:请妥善保管API密钥
  4. 分析时间:大型项目可能需要较长时间
  5. 结果验证:建议结合人工审查
  6. API配置问题:如果提示"API配置更新错误"或"不存在某个模型",请检查API Base URL格式,尝试在URL后添加/v1或删除/v1

例如:

https://api.example.com 或 https://api.example.com/v1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月12日08:46:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   MirrorFlower AI代码审计工具支持PHP/Java等多语言的智能漏洞扫描审计https://cn-sec.com/archives/3729696.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息