- 博客(11)
- 收藏
- 关注
RSS订阅原创 铲子SAST和Fortify两款工具的详细对比
而Fortify则以其全面的SAST功能、广泛的语言支持和强大的规则定制能力而闻名,适用于需要深入安全分析的大型项目。• NST中间媒体文件:通过调用语言的编译器或解释器将源代码转换成NST,分析代码间的调用关系、执行环境、上下文等。• 支持反编译扫描:支持对jar、class文件进行反编译扫描,并将漏洞定位到反编译后的Java代码。• 内置规则+自定义规则:内置常见漏洞扫描规则,并支持使用Cypher查询语言开发自定义规则。• 全面的SAST工具:支持广泛的编程语言,并提供详细的安全规则和策略定制。
2024-12-25 09:53:20
553
原创 java 代码审计工具铲子 SAST 与 CodeQL 的对比
每种工具都有其独特的优势和适用场景,选择哪种工具取决于您的具体需求,如预算、团队技能、项目规模和特定的安全需求。• 支持主流的Java开发框架,采用轻量、快捷的污点分析技术,支持无代码场景的反编译扫描,便捷的自定义扫描规则。• 基于抽象语法树(AST)生成的数据库进行分析,提供跨语言支持,强大的查询语言,支持数据流与控制流分析。• 强调简单易用,快速安装和操作,一键创建扫描任务,快速查看结果,快速开发规则。• 由GitHub开发,专注于代码查询和分析,提供强大的查询语言进行代码分析。
2024-12-25 09:50:19
432
原创 铲子SAST:一款针对java代码审计的工具之反编译扫描
铲子提供了反编译扫描java代码漏洞的功能,以帮助用户在没有完整代码,但是有class或jar文件的情况下进行扫描。
2024-11-12 12:43:55
430
原创 铲子sast—Java代码扫描工具
在我们日常的网络安全工作中,面对越来越复杂的应用环境和不断演化的威胁,保持代码的安全性成了重中之重。作为一名技术人员,我时常感受到开发和安全之间的博弈,而这其中,静态应用程序安全测试(SAST)工具的重要性显而易见。此外,它允许我直接在工具内进行反编译,这样即使是一些难以理解的第三方库,也能快速搞清楚其实现原理。更重要的是,它支持导出简洁的漏洞报告,包括危害等级及修复建议,这让我们在演练后与开发团队的沟通更加高效无阻。最近,我尝试了一款开源的 SAST 工具——“铲子”,让我在日常工作中找到了不少便利。
2024-10-23 10:55:48
381
原创 Java 代码扫描工具
CodeQL是一个免费开源的代码语义分析引擎,利用QL语言对代码进行“查询”,实现对代码的安全性白盒审计和漏洞挖掘。铲子SAST是一个简单实惠的工具,支持Java及其生态系统中的框架和库。它通过构建数据流图来分析代码,提供常见的安全漏洞规则检测,并允许用户自定义规则。Fortify能够支持多种编程语言和开发环境,具有高效的扫描速度和精准的漏洞定位功能。铲子 SAST 是一款针对 Java 代码安全的扫描工具,简单好用易上手价格便宜,自定义规则可以根据用户需求自行编写。
2024-10-16 11:34:17
987
原创 铲子 sast—针对 Java 代码审计工具的自定义规则介绍
把写好的自定义规则放在一个文件夹规则文件命名的结构需要与内置规则保持一致,写好的规则可以直接在规则管理的编辑器进行运行测试,运行于当前打开的任务比如 any_mybatis_sqli.cypher , 数据流规则格式为 source类型_sink类型_漏洞类型.cyphper比如 pom_actuator_misconfig.cypher, 单节点规则格式为 文件类型_组件类型_漏洞类型.cypher加载规则:在菜单里找到规则管理,自定义规则tab里点击加载规则即可。
2024-10-13 10:45:48
1556
原创 新一代 Java 代码审计工具—铲子 SAST
支持语言: java(Servlet&filter、spring、dubbo、thirft、mybatis、dropwizard、jdk内置httpserver、jsp,xml、yaml、properties等)采用技术:污点分析,铲子会将java、xml(mybatis、dubbo)等统一构建数据流图,无需编译,然后进行污点分析,漏洞结果可在数据流窗口进行方便的阅读。
2024-10-09 20:23:56
1904
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人