代码审计是一种发现程序漏洞,安全分析为目标的程序源码分析方式。今天主要分享的是几款常用的代码审计工具,以及代码审计工具有哪些优缺点?

代码审计工具

seay代码审计工具,是一款开源的利用C#开发的一款代码审计工具。主要有SQL注入、xss跨站、命令执行、文件包含、文件上传、正则匹配、数据库执行监控等程序漏洞的监测。

frotify sca是惠普开发的一款商业性质的代码审计工具,主要包含了数据流、控制流、语义、配置、结构五大分析引擎。

rips是一款php开发,监测php程序漏洞的代码分析工具。该工具现目前的版本是0.5,并很早之前就已经停止更新。该工具能够发现SQL注入、xss跨站,文件包含,文件上传、代码执行、文件读取等漏洞。

findbugs是一款静态分析工具,属于eclipse的插件工具。

burp suite属于一款工具集成平台,主要包含了proxy(拦截http/s的代理服务器)、Spider(只能感应的网络爬虫)、Scanner(web应用漏洞)、Intruder(高度可配置工具)、Repeater(应用响应工具)、Sequencer(预测一些不可预知的漏洞,补发单独的http请求)、Decoder(程序的解码)、Comparer(反映请求和响应的差异)。该工具需要安装java环境。

Gerrit是一个基于 Web 的代码审查系统,适于采用 Git 版本控制系统开发的项目进行在线代码审查。

Phabricator是一个完整的开源软件应用程序,以Web基础,代码审查、计划、测试、浏览与审计评分、发现Bug等功能。

Review Assistant是Visual Studio的代码审查插件。可以创建审阅请求并在不离开Visual Studio的情况下对其进行响应。支持TFS,Subversion,Git,Mercurial和Perforce。

cobra:支持PHP、Jav等主要开发语言及其它数十种文件类型,支持检测多种漏洞类型,支持命令行模式和API模式。

VCG:它是一个基于字典的自动化源代码扫描工具,支持 C++, C#, VB, PHP, Java, PL/SQL and COBOL等多种语言,可以由用户自定义需要扫描的数据,可以对源代码中所有可能存在风险的函数和文本做一个快速定位和检索。

RIPS:PHP代码审计工具,支持跨平台部署,小巧强大。

SonarQube:SonarQube 是一款用于代码质量管理的开源工具,它主要用于管理源代码的质量。通过插件形式,可以支持众多计算机语言,比如 java, C#, go,C/C++, PL/SQL, Cobol, JavaScrip, Groovy 等。sonar可以通过PMD,CheckStyle,Findbugs等代码规则检测工具来检测代码,帮助发现代码漏洞。

代码审计工具优缺点

优点

1.降低人工成本

对于应用程序,扫描模式是通用的,计算机比人类更擅长这类扫描。在这种情况下,扫描器在扫描大型代码库漏洞时扮演着重要角色

2.发现漏洞的所有实例

扫描器可以非常有效地识别特定漏洞的所有实例及具体位置。跟踪大型代码库中所有文件的缺陷很难,扫描器对于这种情况很有帮助

3.源库分析

一些分析器通过源库分析的方式跟踪代码并识别漏洞。分析器识别可能的应用输入,并在所有源代码中彻底追踪输入,直到发现所有不符合安全代码模式的应用输入。源库分析能够帮助开发人员更好地理解代码缺陷和获得代码缺陷的根本原因

4.详细的报告格式

扫描器能够提供详细的分析报告,包括具体代码段的漏洞、漏洞的风险等级和详细描述。

缺点

1.未涉及业务逻辑缺陷

扫描器不能识别应用程序的业务逻辑、事务处理和敏感数据。通常,扫描器不能发现应用程序中需要实现的特定于某些功能和设计的安全控制。这些被认为是静态代码分析器的最大限制

2.范围有限

通常,静态代码分析器被设计用于特定的框架或语言,并且能够在一定范围内搜索特定漏洞模式的集合。在此范围之外,静态代码分析器并不能解决在搜索模式库中未涵盖的问题

3.不能发现设计缺陷

代码框架的设计缺陷没有固定模式,静态代码扫描器专注于代码层面。需要人工查看代码才能识别设计问题

4.误报

被扫描器标记的问题并非完全真实,需要有经验、了解安全编码的技术人员理解问题缺陷并对其进行分类。

总结

在源代码审计实际实施过程中,通常采用工具+人工的方式,首先使用源代码审计的扫描工具对源代码进行扫描,完成初步的信息收集,然后由人工的方式对源代码扫描结果进行人工的分析和确认。

根据收集的各类信息对客户要求的重要功能点进行人工源代码审计。

结合自动化源代码扫描和人工源代码审计两方的结果,源代码审计服务人员需整理源代码审计服务的输出结果并编制源代码审计报告,最终提交客户和对报告内容进行沟通。

常见代码审计工具,代码审计为什么不能只用工具?相关推荐

  1. 常见的网络状态检测及分析工具

    目录 netcat(nc) 网络状态检测工具 ifconfig和ip netstat和ss 网络抓包工具 tcpdump Wireshark 其他常用工具 sar nslookup dstat net ...

  2. CV之LabelImg:图片标注工具之LabelImg(图像标注工具)的简介、安装、使用方法详细攻略

    CV之LabelImg:图片标注工具之LabelImg(图像标注工具)的简介.安装.使用方法详细攻略 目录 LabelImg的简介 常见的图片标注工具 LabelImg trainingImageLa ...

  3. linux手机刷机包制作工具_ROM制作工具官方下载|ROM制作工具下载 v1.0.0.59 官方版 - 绿点软件站...

    资源下载,支持线刷包(img)转卡刷包(zip):支持img/dat相互转换:ROM制作工具高效免费,为广大ROM开发者.手机维修.预装分发等人群提供快捷便利的定制服务. ROM制作工具官方简介 RO ...

  4. iis日志字段解析 网站运维工具使用iis日志分析工具分析iis日志(iis日志的配置)

    网站运维工具使用iis日志分析工具分析iis日志(iis日志的配置) https://www.cnblogs.com/fuqiang88/p/5870306.html 我们只能通过各种系统日志来分析网 ...

  5. linux 网络安全工具,常用的Linux网络安全工具简介

    常用的Linux网络安全工具简介 互联网   发布时间:2008-10-08 22:12:04   作者:佚名   我要评论 常用的Linux网络安全工具简介 尽管各种版本的Linux distrib ...

  6. 历史 微信开发者工具_不用微信开发者工具也能调试微信页面

    一般调试微信页面的时候,我们都会按照微信开发的官网教程,让你去安装微信开发者工具,然后在微信开发者工具上调试, 这样有时候会不会感觉很麻烦? 而且这个工具还经常卡死. 1515737321133.jp ...

  7. Beyond Compare 4 智能比较工具、Everything 文件/夹搜索工具,WinRAR,7-Zip 解压缩工具、diagrams 流程图工具、Markdown 编辑器-Notable

    目录 Beyond Compare 概述与下载 Beyond Compare 友好使用 jd-gui 反编译 Java 源码工具 Everything 文件/夹搜索工具 WinRAR.7-Zip 解压 ...

  8. 静态代码分析工具列表分析---代码分析工具列表(30款工具)

    本文是一个静态代码分析工具的清单,共有30个工具.包括4个.NET工具.2个Ada工具.7个C++工具.4个Java工具.2个JavaScript工具.1个Opa工具.2个Packaging工具.3个 ...

  9. 有什么比较好的bug管理工具?5款热门工具推荐

    工具再优秀,适合自己才最重要. 为尽量讲透这个问题,本文的行文结构我先整理如下: 1.为什么需要bug管理工具? 2.好的bug管理工具的标准是什么? 3.好的bug管理工具推荐(5款) 4.如何挑选 ...

  10. Android开发工具系列:SharedPreference管理工具

    Androi开发工具系列:SharedPreference管理工具 Android开发工具系列:弱引用工具 Android开发工具系列:Utils工具 文章目录 1 strategy 1.1 Pref ...

最新文章

  1. java如何接收邮件_java Exchange服务接收邮件
  2. 深度学习——人工神经网络再掀研究热潮
  3. ccf a类期刊_喜报:我院2篇学生论文被CCFA类会议AAAI(2020)接收
  4. python打包exe os模块_python打包成exe格式的方法求教
  5. java jlist 图标_java – 将图像添加到JList项目
  6. 虚拟内存越大越好吗_手机的运行内存真的是越大越好吗?6GB和8GB到底又该如何选择?...
  7. 关于CI框架引入CSS与JS文件
  8. oracle developer 连接 mysql
  9. mysql数据库任务驱动式教程课后答案_MySQL数据库任务驱动式教程
  10. HAProxy安装与配置(一)
  11. 邮件服务器搬家,企业邮箱怎么“搬家”
  12. Linux文件系统格式EXT3,EXT4和XFS的区别
  13. 教你如何清除计算机病毒
  14. win7系统opc服务器配置,win7 设置opc服务器
  15. 英语拼读规则28条(必知)
  16. mysql怎么将成绩划分等级_MySQL按等级查询
  17. 解读微软互联网新战略(下)
  18. 物联网控制卡学习资料第465篇:基于STM32F429多路RS232 物联网控制卡
  19. 查找python安装路径
  20. 计算机集成制造相关文献,计算机集成制造专著类参考文献 计算机集成制造期刊参考文献哪里找...

热门文章

  1. fastjson:对于Exception中复杂类型(enum,...以及自定义类型)成员的处理
  2. MEION:滤波器输出信号幅度处理
  3. 线性表-顺序存储结构
  4. java接收webhook,使用Java为Hangouts Chat API设置传入的webhook?
  5. 运载火箭弹道飞行程序matlab,机载运载火箭飞行程序设计及仿真
  6. 什么是护网(HVV?需要什么技能?
  7. 我只想轻轻地述说那些心事
  8. Android自定义-⭐️画布认识⭐️
  9. 帮忙设计一个数字电子时钟的课程设计
  10. 信息摘要算法之六:HKDF算法分析与实现