标签: 代码审计

玩转CodeQLpy之代码审计实战案例

玩转CodeQLpy之代码审计实战案例

 2023年5月1日

0x01 背景介绍 CodeQLpy是一款半自动化的代码审计工具,能有效提高代码审计的效率,目前项目仍处于测试阶段。项目地址https://github.com/webraybtl/CodeQLpy,在github主页有对应的安装和使用介绍,如图1.1所示。 -t: 指定待扫描的源码路径。支持文件夹,jar包和war包,如果是文件夹,则必须是网站跟目录。 -d: 指定待扫描的CodeQL数据库。-...

 栏目: 安全  Tagged: , , , , ,
CodeQL 挖洞体验笔记

CodeQL简介及其Windows下环境安装

 2023年4月30日

CodeQL简介 CodeQL项目地址:https://github.com/github/codeql CodeQL官网:https://codeql.github.com/ 截止到目前在github上有4.1k个star 该项目的历史为:Semmle公司最早独创性的开创了一种QL语言,Semmle QL,并且运行在自家LGTM平台上。 LGTM平台上存放的就是一些开源项目,用户可以选择分析的语...

 栏目: 程序  Tagged: , ,

中国信通院公布首批软件产品开源代码安全试点验证名单

 2023年2月8日

IT之家 2 月 7 日消息,近日,中国信通院公布首批《信息安全技术 软件产品开源代码安全评价方法》国家标准试点验证结果,首批入选 8 个试点验证产品。 中国信通院表示,近年来,软件成为社会基本运转组件的同时,开源代码安全事件频发,对于软件产品稳定运行、用户数据保护乃至国家安全造成重大威胁,软件产品中开源代码安全受到业内高度重视。开源代码安全直接关系着软件产品安全。当前企业开源代码安全管理机制不完...

 栏目: 业界  Tagged: , ,

Facebook 开源 Instagram 安全工具 Pysa

 2020年8月10日

Facebook 宣布开源静态分析工具 Pysa。这是 Instagram 上用于检测和修复应用程序庞大 Python 代码库中错误的一个内部工具,可以自动识别 Facebook 工程师编写的易受攻击的代码段,然后再将其集成到社交网络的系统中。 其工作原理是在代码运行/编译之前,以静态的形式扫描代码、查找潜在已知的错误模式、然后帮助开发者标注出潜在的问题。Facebook 声称,Pysa 现已通过...

 栏目: 业界  Tagged: , , , ,

OpenSSF致力于提升开源软件的安全性

 2020年8月4日

经过多年的发展,开源软件已经在各种环境中得到了广泛的应用。然而对于负责用户和组织安全的人员来说,也必须能够理解和验证其安全性。好消息是,在 Linux 基金会的牵头下,开源社区已经达成了一项跨行业的合作。新成立的开源软件安全基金会(OpenSSF)旨在将广泛的社区领导者聚集到一起,建立具有针对性的计划和最佳实践,以提升开源软件的安全性。 (来自:OpenSSF.org) 据悉,OpenSSF 聚集...

 栏目: 业界  Tagged: , , , ,

Scanners-Box:开源扫描器大全 2017-04-22

 2017年4月22日

Scanners-Box是一个集合github平台上的安全行业从业人员自研开源扫描器的仓库,包括子域名枚举、数据库漏洞扫描、弱口令或信息泄漏扫描、端口扫描、指纹识别以及其他大型扫描器或模块化扫描器;该仓库只收录各位网友自己编写的一般性开源扫描器,类似nmap、w3af、brakeman等知名扫描工具不收录。 子域名枚举 https://github.com/lijiejie/subDomainsB...

 栏目: 安全  Tagged: , , , ,

Checkmarx源代码静态扫描系统

 2016年2月20日

Checkmarx CxEnterpris企业服务下的代码扫描不依赖于特定操作系统,只需在在企业范围内部署一台扫描服务器,就可以扫描其它操作系统开发环境下的代码,包括但不限于如下操作系统Windows、 Linux 、AIX,HP-Unix, Mac OS, Solaris。

 栏目: 安全  Tagged: , , , , , ,

三款主流静态源代码安全检测工具比较

 2016年2月20日

我们选择其中的三款具有代表性的进行对比,分别是 Fortify公司的Fortify SCA,Security Innovation公司的Checkmarx Suite和Armorize公司的CodeSecure。

 栏目: 安全  Tagged: , , , , , , , ,

安码WEB代码审核系统

 2014年2月12日

安码WEB代码审核系统,支持中文图形界面,所有操作基于菜单方式,本工具可以安装在普通Windows和linux操作系统服务器上。可对目标文件进行源代码级的漏洞分析,报告文件也保证了用户的私密性需求。

 栏目: 安全  Tagged: , ,

Seay源代码审计系统1.0版本发布(含下载)

 2013年6月14日

高精确度自动白盒审计、函数查询、代码调试、函数/变量定位、审计报告、自定义规则和编辑器、mysql数据库管理、黑盒敏感信息泄露一键审计、正则调试、多种字符编码转换、POST数据包提交、自定义插件扩展功能、英汉互译。

 栏目: 安全  Tagged: , , ,

网站安全分析:PHP ob_start函数后门分析报告

 2012年9月12日

站长之家从日志宝安全团队获悉,近日,根据日志宝分析平台的分析数据显示,部分网站的访问日志中存在大量命令执行类后门行为。 我们与用户取得联系后拿到后门文件代码。此类后门通过PHP的ob_start()函数触发,利用ob_start()函数回调机制调用命令执行类函数并接受黑客远程发送的命令,此类后门代码可以躲避部分常见后门关键字查杀程序,最终以Web服务器权限远程执行任意命令。 PHP 手册中关于ob...

 栏目: 安全  Tagged: , , , ,

国内代码审计No.1 南京瀚海源宣传视频

 2012年5月16日

南京翰海源信息技术有限公司是一家专注于改进企业软硬件系统安全开发过程/提供专业的安全测试服务的信息安全领域高新技术公司,为企业提供安全测试/漏洞挖掘的支撑产品以及专业的软硬件安全测试服务。 安全服务主要有安全测试\安全验收和安全监理。 Code Audit Labs(代码审计实验室) 公司成立了Code Audit Labs(代码审计实验室),致力于研究代码审计的自动化,提高软件的安全性。 依托全...

 栏目: 业界  Tagged: , , , , , ,