코드 보안 감사 도구 Daquan의

구멍 감사 도구 Daquan을 채우기

 

 

다음 링크는 현재 인기 코드 감사 기사를 추천합니다

http://www.freebuf.com/sectool/101256.html

https://www.owasp.org/index.php

https://www.dwheeler.com/essays/static-analysis-tools.htm

L https://github.com/mre/awesome-static-analysis

https://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis

튜토리얼 안전 절차를 개발하는 방법 https://www.dwheeler.com/secure-programs/3.71/Secure-Programs-HOWTO/index.html을

 

0 × 01 PHP 코드 감사

1, 자동 코드 감사 도구 강력한 취약점 발견 기능을 갖춘 오픈 소스를 오픈 RIPS. 그것은 보안 감사 정적 PHP 코드 PHP 언어를 사용합니다. 문서 유출, 1) XSS, SQL 주입을 감지 할 수있는 로컬 / 원격 파일 포함, 원격 명령 실행 및 취약점 더 많은 종류를 : 주요 특징은 다음과 같이 코드의 보안 감사는 RIPS. 디버깅 및 보조 검사 결과에 대한 표시 옵션의 다섯 단계 2)가있다. 3) 취약 선을 표시. 4) 변수의 표시가 강조. 5) 사용자 정의 기능에 커서를 호버 함수 호출을 표시 할 수있다. 함수 정의와 호출 사이 6) 유연한 점프. 7))를 정의하고 호출을 포함한 모든 사용자 정의 함수 (), 모든 엔트리 포인트 (사용자 입력)를 선발하고, 문서를 포함하는 모든 스캔 된 문서 (들 수있다. 8)도 소스 코드 파일을 도시 시각화 파일을 포함하고, 함수 호출. 9) 단지 몇 번의 마우스 클릭으로 당신은 인스턴스가 취약성을 탐지하기위한 CURL의 EXP를 사용하여 만들 수 있습니다. 10) 각각의 취약점에 대한 설명은, 예를 들면, POC는이 패치 및 보안 기능을 상세하게 나와있다. 11) 7 가지 모드 구문을 강조. 하향식 또는 상향식 방식 향적 스캔 결과의 12)을 사용. 13) PHP는 로컬 서버를 지원하는 브라우저는 수요를 충족 할 수 있습니다. 14) 일반 검색 기능. 현재 상용 버전,하지만 오픈 소스는 입술의 최신 버전은 0.55이다, 충분했다

 

 

다음과 같이 다운로드 링크는 다음과 같습니다 https://sourceforge.net/projects/rips-scanner/ ,

 

 

 

0 × 02 자바 코드 감사

 

코드 품질 : findbugs 보안 코드 : findsecuritybugs의 FindSecurityBugs의 FindBugs 정적 분석 도구는 자바 플러그인, 일련의 규칙을 통해 자바의 보안 취약점의 코드를 찾을 수 있습니다. 이 도구는 이클립스 또는 IntelliJ를 포함하여 많은 IDE에 통합 될 수있다. 현재이 프로젝트는 보안 커뮤니티에서 많은 관심을 받고있다. 이 도구의 최신 버전은 안드로이드 단말기 유형의 제품을 위해 특별히 취약점을 증가시킨다. 따라서, 그것은 또한 좋은 모바일 엔드 보안 검사 도구이다. : 당신이 그것의 더 자세한 이해를 원한다면, 당신은 다운로드 방문 갈 수 http://findbugs.sourceforge.net/downloads.html https://www.jianshu.com/p/c43940c4e025을

https://find-sec-bugs.github.io/

https://wiki.jenkins.io/display/JENKINS/FindBugs 플러그인  

 

0 × 03 다른 언어 코드 감사

1 .NET https://security-code-scan.github.io/

 

2.C ++ :

   코드 품질 : cppcheck

보안 코드 : Flawfinder https://sourceforge.net/projects/flawfinder/

http://www.doc88.com/p-669125880049.html

https://sourceforge.net/p/flawfinder/feature-requests/4/ XML 포맷 지원  

 

3.JS :

코드 품질 : eslint

보안 코드 : https://github.com/ajinabraham/NodeJsScan

https://blog.csdn.net/yalishandalee/article/details/61916454

https://github.com/nodesecurity/eslint-plugin-security#rules

 

 

4.Go :

코드 품질 : golint는 도구 수의사로 이동

보안 코드 : 가스 https://github.com/GoASTScanner/gas  

 

 

5.Python :

코드 품질 : pylint

보안 코드 : 도적, 찾기 피라 - 사출, PYT https://wiki.openstack.org/wiki/Security/Projects/Bandit

https://github.com/openstack/bandit

https://github.com/uber/py-find-injection

https://github.com/bit4woo/python_sec https://github.com/python-security/pyt  

 

6. 다국어 보안 코드 검사 도구 : SONAR  https://docs.sonarqube.org/display/SONAR

https://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html#Vulnerability_Detection

https://github.com/SonarSource/sonarqub  

 

7.ruby https://github.com/thesp0nge/dawnscanner

https://github.com/presidentbeef/brakeman  

 

 

를 0x04 상법 감사 도구

사실, 온라인 나쁜, 정적 분석 도구 RISP는, VCG는, SCA 및 다른 동적 도구가 새 형제의 더러운의 하늘 늑대 (360)를 요새화 말한다. : 여러 정적 분석이있다 wufeifei / COBRA - GitHub의 : 코브라 - ... 코브라는 정적 이 허점 도구를 찾을 수있는 간단한 패스 정기적 인 https://grepbugs.com/ 더러운를 만 * php5.4을 지원합니다. 이전 버전은 최신 PHP는 지원되지 않습니다.