工具地址:https://github.com/Chanzi-keji
赶个10月的尾巴,近期也是在后台接到了一位粉丝大哥的留言
(公众号留言板)
近期一直在搞终端安全和数据安全的内容,一些自己的兴趣爱好也就开始落下,话不多说。各位,看工具。
官方介绍
一、产品定位
“铲子”是一款简单易用的JAVA SAST(静态应用程序安全测试)工具,旨在为安全工程师提供一款简单、好用、价格厚道的代码安全扫描产品。
官网:www.chanzikeji.com
二、功能介绍
支持语言: java(Servlet&filter、spring、jfinal、netty、dubbo、thirft、mybatis、dropwizard、jdk内置httpserver、jsp,xml、yaml、properties等)
采用技术:污点分析,铲子会将java、xml(mybatis、dubbo)等统一构建数据流图,无需编译,然后进行污点分析,漏洞结果可在数据流窗口进行方便的阅读
支持漏洞:内置了 sql 注入、命令注入、文件上传、ssrf 等常见cwe漏洞规则,以及log4j、shiro、xstream、actuator等组件类漏洞规则
导出报告:用户可对漏洞进行标记,并导出简单的漏洞报告,包括漏洞类型、危害等级、所在位置以及修复建议,帮助开发人员快速定位和解决问题
反编译:支持反编译扫描,可以在新建任务时选择需要反编译的jar或class文件,也可以在审计过程中对单个class或jar文件进行反编译阅读代码
编辑器:多功能代码编辑器,为了更方便的阅读代码,减少用户在sast工具及ide之前频繁切换,编辑器内置了类型、变量、方法的跳转及使用查找,快速搜索全仓库,及文件的代码大纲
自定义规则:自定义规则采用cyber查询语言,用户学习门槛低,对于熟悉图数据库的同学可以快速上手
注:扫描过程不会上传任何形式的代码数据到服务端,请放心使用
三、工具的安装使用
下载安装:访问“铲子”官方网站,根据您的操作系统选择合适的安装包进行下载并安装。
配置环境:内置 java 运行环境,一键安装,无需配置。
开始扫描:启动程序后,点击新建任务即可。
查看结果:在漏洞窗口查看即可,可按需进行漏洞排序、筛选、标记等。
查看报告:在任务栏右键导出报告即可。
产品特色
1、轻量的污点分析:轻量化的污点分析,可以更快捷的完成污点数据流图的构建,更简单的实现污点分析规则开发.
2、多功能代码编辑器:代码编辑器支持语法高亮、查找、变量及方法跳转到定义或使用、查看数据流上下游等功能.
3、内置规则+自定义规则:内置常见漏洞的扫描规则,您也可以根据自己的需求使用cyber查询语言开发自己的规则.
4、适配主流框架:铲子对java主流技术做了适配,包括spring、servlet、dubbo、thrift、mybatis、jsp等.
5、便捷的代码搜索:您可以在编辑器中搜索当前文件、也可以根据文件名称、文件内容搜索整个仓库.
6、支持反编译扫描:如果您没有java源代码,铲子也支持对jar、class文件开启反编译扫描,并将漏洞定位到反编译后的java代码.
工具官网
官网:www.chanzikeji.com
工具链接地址:https://github.com/Chanzi-keji/chanzi
该工具建议搭建在虚拟机中,方便、安全、可回溯
当然该工具分为两种一是收费的,二是免费的,免费版本我看够用,收费也只是规则开发指导。
(官网收费截图)
使用文档:https://github.com/Chanzi-keji/chanzi/wiki
本人测试调研过程
搭建过程相对简单,过程如下:
1、搭建过程
直接虚拟机安装即可,安装完成后桌面出现图标
2、双击打开(打不开的情况,请使用管理员权限)
这里遇到了虚拟机卡死的状况,看GitHub 比较吃配置,就调整下虚拟机配置如下
软件界面如下
使用测试如下
在添加任务的时候,需要登陆微信
可能是为了后续的收费,方便计算
使用靶场测试:https://github.com/JoyChou93/java-sec-code
添加任务
效果如下:
跟踪
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...