代码审计-审计工具介绍-DAST+SAST+IAST项目

news2024/11/17 2:40:11

DAST+SAST+IAST项目介绍

DAST:

动态应用程序安全测试(Dynamic Application Security Testing)技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击。

SAST:

静态应用程序安全测试(Static Application Security Testing)技术通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。

IAST:

交互式应用程序安全测试(Interactive Application Security Testing)是2012年Gartner公司提出的一种新的应用程序安全测试方案,通过代理、VPN或者在服务端部署Agent程序,收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。

 

各类语言审计工具

PHP:Seay RIPS CheckMarx Fortify VCG Kunlun-M

NET:VCG Fortify CheckMarx

Java:Fortify CheckMarx VCG

Python:Bandit Fortify CheckMarx

JS:Kunlun-M NodeJsScan Fortify CheckMarx

Go:Gosec CheckMarx

 

演示:SAST各类语言审计工具详细介绍

工具:Seay源代码审计系统(还可以当phpstorm查看代码)

语言:php

下载:https://github.com/f1tz/cnseay

使用:启动工具,选择 新建项目 导入源码——点击 自动审计 就会自动将可能存在漏洞的代码点列出来。

 

工具:KunLun-M (推荐使用-非常香)

介绍:KunLun-M是一个完全开源的静态白盒扫描工具,支持PHP、JavaScript的语义扫描,基础安全、组件安全扫描,Chrome Ext\Solidity的基础扫描。

语言:PHP,JS

下载:https://github.com/LoRexxar/Kunlun-M

安装:

1、安装依赖库:pip install -r requirements.txt

2、配置文件启用(修改文件后缀):Kunlun_M/settings.py.bak ——> Kunlun_M/settings.py

3、初始化数据库:python kunlun.py init initialize

4、加载规则数据库:python kunlun.py config load

命令行模式使用(python3):python kunlun.py scan -t 源码路径

扫描完成:结果保存在工具根目录result目录下

WEB模式使用:python kunlun.py web -p 9999

访问:localhost:9999  进入web模式。

 

工具:VCG (老牌工具,一般般)

语言:PHP,NET,JAVA

下载:https://github.com/nccgroup/VCG

使用:运行exe程序,第一步必须点击Settings选择源码语言。第一次启动程序会弹出一个框,双击进入点击ok即可。

第二步,点击File——Net Target Directory 选择源码

第三步,点击scan选择扫描模式,开始扫描

第四步,扫描完成会弹出如下选项,双击进入选择第一个选项,点击ok即可查看审计详情。

审计详情:

第五步,点击Summary Table 即可查看漏洞产生的代码位置

 

工具:Bandit

语言:Python

下载:https://github.com/PyCQA/bandit

安装:pip install bandit

工具根目录执行:

linux:

安装后会在当前Python目录下的bin中生成工具运行程序

使用:bandit.exe -r 需要审计的源码目录

windows:

安装后会在当前Python目录下的script中生成工具运行程序

使用:bandit.exe -r 需要审计的源码目录

python/scripts目录进入命令行执行:扫描结果展示在命令行——>高危:红色  中危:黄色  低危:蓝色

使用 -o a.txt(文件名)  -f txt(文件类型) 这两个参数即可将扫描结果保存到python/scripts目录

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/908687.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

*看门狗2_思考多组看门狗对多任务的监控

多任务系统中 一般结合嵌入式操作系统,设置一个优先级级别最高的任务作为监视器,以监视各个应用任务是否正常运行,该监视器即为软件看门狗,该任务对其他任务都设定一个计时器,每个被监视的任务在设定的时间内对软件看门…

企业级私有化部署即时通讯,完美替代SaaS平台

在数字化转型的时代,企业越来越需要安全、高效和可扩展的解决方案来管理其运营。作为通用办公行业的领军品牌,WorkPlus在企业级私有化部署领域成为改变者。凭借其尖端功能和全面的功能性,WorkPlus提供了传统的软件即服务(SaaS&…

SELinux 入门 pt.1

哈喽大家好,我是咸鱼 文章《SELinux 导致 Keepalived 检测脚本无法执行》以【keepalived 无法执行检测脚本】为案例向大家简单介绍了关于 SELinux 的一些概念 比如说什么是自主访问控制 DAC 和 强制访问控制 MAC;SELinux 安全上下文的概念等等 那么今…

洛谷 P2715 ccj与zrz之在回家的路上 艰辛的解题过程

时隔将近两个月,我回来了哈哈哈哈哈哈哈哈哈。 看着一周小结的排名越来越低太难受了,于是我回来继续写文章 今天这道题其实不难,重点是说一下解题过程中遇到的麻烦和坑点 题目描述 给出一个算式(a*bc或a/bc或abc或a-bc&#xff0…

深入理解JMM和并发三大特性

并发和并行 并发和并行的目的都是为了使CPU的使用率最大化,这两个概念也是我们容易混淆的。 并行(Parallel) 并行是指在同一时刻,有多条指令在多个处理器上同时执行,因为并行要求程序能同时执行多个操作&#xff0c…

APP上线为什么要提前部署安全产品呢?

一般平台刚上线或者日活跃量比较高的时候,很容易成为攻击者的目标,服务器如果遭遇黑客攻击,资源耗尽会导致平台无法访问,业务也无法正常开展,服务器一旦触发黑洞机制,就会被拉进黑洞很长一段时间&#xff0…

MySQL下载安装配置

天行健,君子以自强不息;地势坤,君子以厚德载物。 每个人都有惰性,但不断学习是好好生活的根本,共勉! 文章均为学习整理笔记,分享记录为主,如有错误请指正,共同学习进步。…

微信聊天记录词云制作

文章目录 一:聊天记录传输至电脑二:聊天记录破解三:聊天记录分析(1)字段含义(2)词频统计和词云制作(3)效果展示 一:聊天记录传输至电脑 在雷电模拟器中打开r…

独家|2023 Q2业内3D-NAND研发动态最全一览表

有粉丝私信,希望可以看到业内比较全的3D-NAND动态。经过小编的找寻,结合TechInsight的信息以及各家原厂官网消息,整理出2023 Q2业内3D-NAND研发动态最全一览表,供大家参考。 声明:本表格均为公开信息整理,如…

AI提示语-让每个人都能轻松使用 AI,提高 10 倍生产力

AI提示语简介 无需代码,连接模型快速构建AI应用。让每个人都能轻松使用 AI,提高 10 倍生产力。 AI提示语介绍 AI 提示语致力于为各类AI应用搭建、运行和推广的基础平台,让广大用户都能将AI的力量运用到实际的工作与生活场景中。 AI提示语…

国产SSD崛起!2023年发展趋势解析

随着科技的不断进步,SSD已经成为了现代计算机不可或缺的一部分。而在这个市场中,国产SSD也逐渐崭露头角。 国产SSD市场份额继续扩大 根据市场调研机构IDC的数据显示,2023年中国SSD市场份额排名前五的厂商中有四家是国内企业,分别是…

【第三阶段】kotlin语言的内置函数apply

1.普通方式输出一个字串的信息 fun main() {var info"Ktolin"//普通方式println("info的长度为${info.length}")println("info的最后一个字符${info[info.length-1]}")println("info全转换为大写${info.toLowerCase()}") }执行结果 …

Go 语言在 Windows 上的安装及配置

1. Go语言的下载 Golang官网:All releases - The Go Programming Language Golang中文网:Go下载 - Go语言中文网 - Golang中文社区 两个网站打开的内容只有语言不同而已,网站上清晰的标注了不同操作系统需要对应安装哪个版本,其中…

对类加载过程的通俗理解

开局一张图 一般来说,类加载分为:加载、验证、准备、解析、初始化 5个步骤。 各阶段略叙 1、加载 将.class文件加载进内存 2、验证 判断.class文件的格式是否正确 3、准备 为类的静态变量分配内存并设置初始值。只有b、c会在此阶段进行处理。 //…

移动端的帮助中心该如何设计?

随着移动互联网的发展,APP作为一种高效的营销工具,已经成为企业抢占移动端流量的重要手段。同时随着智能手机用户规模不断扩大,以及用户的消费逐渐向移动端转移,使得越来越多企业认识到 APP与其营销模式是成为互补的关系&#xf…

数据驱动未来:基于状态的维修在工业领域的前景

随着科技的不断进步,工业界正迎来一场革命,而其中的一颗明星是基于状态的维修(CBM)。这一技术正在改变工业维护的方式,通过实时数据分析和人工智能驱动,使维护从被动的、计划性的转变为主动的、预测性的。本…

基于多元宇宙算法优化的BP神经网络(预测应用) - 附代码

基于多元宇宙算法优化的BP神经网络(预测应用) - 附代码 文章目录 基于多元宇宙算法优化的BP神经网络(预测应用) - 附代码1.数据介绍2.多元宇宙优化BP神经网络2.1 BP神经网络参数设置2.2 多元宇宙算法应用 4.测试结果:5…

3种清除logo的方法,使其干净整洁 自然无痕

信息爆炸的时代,我们每天都和图片打交道经常会遇到一些带有水印的图片。这些水印可能是品牌的标志或者是版权信息,但有时候它们会干扰到我们对图片的欣赏和使用。那么,怎么去掉图片logo水印呢? 毕竟影响图片美感,使用也不方便&a…

torch一些操作

Pytorch文档 Pytorch 官方文档 https://pytorch.org/docs/stable/index.html pytorch 里的一些基础tensor操作讲的不错 https://blog.csdn.net/abc13526222160/category_8614343.html 关于pytorch的Broadcast,合并与分割,数学运算,属性统计以及高阶操作 https://blog.csd…

Spring的基本概念

前言 Spring 究竟是什么?其实Spring简单来说就是一个包含众多工具方法的IOC容器。 那么什么是IOC呢? IoC Inversion of Control 翻译成中⽂是“控制反转”的意思. 既然Spring 是⼀个IoC(控制反转)容器,重点还在“容…