0x01 工具介绍
“铲子”是一款用户友好的JAVA静态应用程序安全测试(SAST)工具,专为安全工程师设计,提供简单、实用的代码安全扫描功能。支持多种语言和框架,通过污点分析技术生成数据流图,检测常见漏洞(如SQL注入、命令注入等)。具备报告导出、反编译、代码编辑器等功能,确保用户方便地阅读和修复代码问题。安装简便,内置Java环境,扫描过程不上传代码数据,保障用户隐私。
下载地址在末尾
0x02 功能简介
基本功能
轻量的污点分析
轻量化的污点分析可以更快捷地完成污点数据流图的构建,更简单地实现污点分析规则开发。多功能代码编辑器
代码编辑器支持语法高亮、查找、变量及方法跳转到定义或使用、查看数据流上下游等功能。内置规则+自定义规则
内置常见漏洞的扫描规则,您也可以根据自己的需求使用Cyber查询语言开发自己的规则。适配主流框架
“铲子”对Java主流技术做了适配,包括Spring、Servlet、Dubbo、Thrift、MyBatis、JSP等。便捷的代码搜索
您可以在编辑器中搜索当前文件,也可以根据文件名称、文件内容搜索整个仓库。支持反编译扫描
如果您没有Java源代码,“铲子”也支持对JAR、Class文件开启反编译扫描,并将漏洞定位到反编译后的Java代码。
0x03更新说明
sql注入、ssrf、xxe规则优化shiro等组件漏洞规则优化Windows版本数据流上下游bug修复
0x04 使用介绍
下载安装:访问“铲子”官方网站,根据您的操作系统选择合适的安装包进行下载并安装。
配置环境:内置 java 运行环境,一键安装,无需配置。
开始扫描:启动程序后,点击新建任务即可。
查看结果:在漏洞窗口查看即可,可按需进行漏洞排序、筛选、标记等。
查看报告:在任务栏右键导出报告即可。
0x05
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...