大佬们代码审计都是用工具吗,求推荐好用的工具

请先 登录 后评论

6 个回答

阿蓝

可以找一些cms先用工具跑一下,如果有效果针对性对跑出的代码逻辑可以分析,如果能力好可以上手直接看代码逻辑进行分析,工具吧java你搞个fortify跑跑代码

请先 登录 后评论
shenwu

https://github.com/LoRexxar/Kunlun-M

还有 seay源代码审计

工具先扫,再自己看,我也初学,一起加油


请先 登录 后评论
SNCKER

公司企业内部会有扫描器,个人一般还是人肉扫描,github上有开源的扫描工具可以用来辅助一下。php就seay扫一下快速定位,然后就是用phpstorm去看定位到的点,慢慢调试,用什么倒是无所谓,vscode也行,用着顺手就行。java直接丢到idea,而且idea能逆字节码,基本都是黑盒配白盒,找可能存在漏洞的功能点,然后看它实现得有没有问题。我个人觉得jb全家桶还可以的,主要用惯了,打ctf碰到java、php、go、nodejs的审计,jb全家桶都能应付了。

请先 登录 后评论
Rain奕天

一般我都用seay源代码审计 先扫扫 然后自己再对着代码可以看看哪里有洞。本地搭建复现

请先 登录 后评论
空城 - 安全小菜鸡

个人用:

1、seay做php代码审计

2、fortify破解版做代码审计(语言就比较多了)

公司用:

1、checkmarx(公认的比较好用)

2、coverity

3、fortify商用版

4、还有奇安信代码卫士等国内安全厂商的扫描器

请先 登录 后评论
平生有你0212 - CISSP

推荐如下三款代码审计工具

RIPS是一款开源的,具有较强漏洞挖掘能力的自动化代码审计工具。它使用PHP语言编写的,用于静态审计PHP代码的安全性。

VCG(VisualCodeGrepper),是一款支持C/C++、C#、VB、PHP、Java和PL/SQL的免费代码安全审计工具。它是一款基于字典的检测工具,功能简洁,易于使用。

Fortify SCA(Static Code Analyzer)是由Fortify软件公司(已被惠普收购)开发的一款商业版源代码审计工具。它使用独特的数据流分析技术,跨层跨语言地分析代码的漏洞产生,目前支持所有的主流开发语言。

请先 登录 后评论

相似问题