工具介绍
Java 代码审计 idea 插件
-
inspectorz 为 idea 静态代码扫描插件,可一键搜索出所有 sink 点 -
在原有基础上,修改了一些代码逻辑,sink 点更加全面 -
补充添加了多个规则,例如补充了文件读取、文件写入、反序列化等风险点的检测规则,添加了权限绕过、rpc 调用等风险点的检测规则 -
原作者 KimJun -
原版插件链接 -
https://github.com/KimJun1010/inspector
工具安装
-
依次打开 -
设置 -> 插件 -> 本地安装
-
选择下载的 jar 文件即可
使用
-
可以把除了插件外的选项都取消勾选
-
配置好后,针对反编译后的文件夹,进行扫描即可
-
也可根据在人工审计的时候,高亮显示风险点,协助审计 -
例如依据 web.xml 中的配置,跟进后可看到高亮显示的风险点
优化点
-
在原项目基础上,添加的一些规则 -
例如 -
文件操作类
-
权限绕过类
-
rpc 调用类
工具获取
原文始发于微信公众号(夜组安全):Java 代码审计 idea 插件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论