新一代 Java 代码审计工具—铲子 SAST

已于 2024-10-12 14:47:11 修改
阅读量2.1k 收藏 20
点赞数 25
CC 4.0 BY-SA版权
文章标签: 测试工具 安全性测试 网络安全 java
于 2024-10-09 20:23:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chanziSAST/article/details/142795571

  . 产品定位

铲子SAST是一款简单易用的JAVA SAST(静态应用程序安全测试)工具,旨在为安全工程师提供一款简单、好用、价格厚道的代码安全扫描产品。

  • 一分钟即可完成安装 | 一个按钮创建扫描任务 | 一键查看漏洞数据流

    支持主流的java开发框架 | 采用轻量、快捷的污点分析 |支持无代码场景的反编译扫描 | 便捷的自定义扫描规则

  • 功能介绍

  • 支持语言: java(Servlet&filter、spring、dubbo、thirft、mybatis、dropwizard、jdk内置httpserver、jsp,xml、yaml、properties等)

  • 采用技术:污点分析,铲子会将java、xml(mybatis、dubbo)等统一构建数据流图,无需编译,然后进行污点分析,漏洞结果可在数据流窗口进行方便的阅读

  • 支持漏洞:内置了 sql 注入、命令注入、文件上传、ssrf 等常见cwe漏洞规则,以及log4j、shiro、xstream、actuator等组件类漏洞规则

  • 导出报告:用户可对漏洞进行标记,并导出简单的漏洞报告,包括漏洞类型、危害等级、所在位置以及修复建议,帮助开发人员快速定位和解决问题

  • 反编译:支持反编译扫描,可以在新建任务时选择需要反编译的jar或class文件,也可以在审计过程中对单个class或jar文件进行反编译阅读代码

  • 编辑器:多功能代码编辑器,为了更方便的阅读代码,减少用户在sast工具及ide之前频繁切换,编辑器内置了类型、变量、方法的跳转及使用查找,快速搜索全仓库,及文件的代码大纲

  • 自定义规则:自定义规则采用cyber查询语言,用户学习门槛低,对于熟悉图数据库的同学可以快速上手

  • 注:扫描过程不会上传任何形式的代码数据到服务端,请放心使用

  •  工具安装及使用

    访问官方Github库进行下载 

    https://github.com/Chanzi-keji/chanzi

  • 配置环境:内置 java 运行环境,一键安装,无需配置。

  • 开始扫描:启动程序后,点击新建任务即可。

  • 查看结果:在漏洞窗口查看即可,可按需进行漏洞排序、筛选、标记等。查看报告:在任务栏右键导出报告即可。

  • 需求/bug:请在该仓库的 issues 板块提交。

  • 技术交流:请在该仓库的 dissuss‍ions 板块参与或发起讨论。

  • 产品文档:GitHub上提供了详细的文档,可在 wiki 版本阅读。

  • 官方网站:www.chanzikeji.com

  • 微信公众号:chanzisast

chanziSAST
关注
seay源代码审计系统工具
02-08
eay源代码审计系统一款基于白盒测试代码审计工具,具有自动代码审计功能,简化了人工审计的繁琐流程,使代码审计更加智能简洁。此工具是好朋友seay开...
Java 代码审计工具-铲子 SAST
11-27
支持语言: java(Servlet&filter、...编辑器:多功能代码编辑器,为了更方便的阅读代码,减少用户在sast工具及ide之前频繁切换,编辑器内置了类型、变量、方法的跳转及使用查找,快速搜索全仓库,及文件的代码大纲。
JavaSinkTracer:自研Java代码审计工具
最新发布
道阻且长,行则将至
06-21 1301
JavaSinkTracer 是基于 Python javalang 库开发的一款轻量级 Java 源代码漏洞审计工具,开发人员 Tr0e。
铲子SAST-java代码反编译安全扫描
chanziSAST的博客
06-06 305
铲子提供了反编译扫描java代码漏洞的功能,以帮助用户在没有完整代码,但是有class或jar文件的情况下进行扫描。
Java 代码审计工具铲子 SAST
chanziSAST的博客
10-06 1154
【代码】Java 代码审计工具铲子 SAST
铲子SAST:一款针对java代码审计工具之反编译扫描
chanziSAST的博客
11-12 558
铲子提供了反编译扫描java代码漏洞的功能,以帮助用户在没有完整代码,但是有class或jar文件的情况下进行扫描。
铲子SAST,简单实用的自动化代码审计工具
2202_75361164的博客
02-02 1862
铲子SAST工具是一款简单易用的JAVA SAST(静态应用程序安全测试工具,旨在为安全工程师提供一款简单实用的代码安全扫描产品,每个月每个用户可以免费扫描10个项目支持多种语言和框架,通过污点分析技术生成数据流图,检测常见漏洞(如SQL注入、命令注入、java反序列化漏洞、XXE漏洞、ssrf漏洞、ssti漏洞、url重定向漏洞、actuator配置安全漏洞、密钥硬编码等)。具备报告导出、反编译、代码编辑器等功能,确保用户方便地阅读和修复代码问题。
代码审计SAST自动化
goddemon
04-30 1042
很久没写文章了,有点忙,落个笔,分享一些捣鼓或说适配好的一些好玩的东西。脚本工具不开源,给一些思路,希望能给大家带来一些收获。笔者能力有限,如有错误,欢迎斧正。
java代码审计工具
02-26
新一代Java 代码审计工具——铲子 SAST 支持主流的 Java 开发框架,采用了轻量、快捷的污点分析技术,并能支持无代码场景下的反编译扫描。此外,这款工具还提供了便捷的自定义扫描规则功能,使得开发者可以根据...
JAVA__安全靶场,IAST_测试用例,JAVA漏洞复现,代码审计SAST测试用例,被动扫描,J_JavaVul.zip
08-28
JAVA__安全靶场,IAST_测试用例,JAVA漏洞复现,代码审计SAST测试用例,被动扫描,J_JavaVul
JAVA系列代码审计工具
03-21
### Java代码审计工具推荐 对于Java代码审计的需求,市场上存在多种工具可供选择。这些工具能够帮助开发者识别潜在的安全漏洞、性能问题以及编码标准违规等问题。以下是几种常用的Java代码审计工具及其特点: ####...
代码审计工具V2.0.3源码20121015
01-16
代码审计工具V2.0.3源码 源码描述: 该版本目前支持单个关键字扫描、批量函数扫描、批量正则匹配,其中正则表达式扫描精确度最高,效率最高。 其他功能: 源码浏览:载入程序源码后,可以在最左边的程序文件列表里面点击浏览源码,扫描出包含关键字的源码,也可以在下边的列表点击直接浏览。代码可以直接复制,或者选择用记事本打开。 漏洞库:每次做代码审计可以在漏洞库建立一个审计文档,方便以后查阅、管理。 扫描配置:自定义扫描函数和正则表达式规则,针对要扫描的程序可以建立不同的规则,其中正则表达式扫描精确度更高。 审计技巧:收集了一下PHP代码审计的资料,提供给新手学习。 程序帮助:一些程序信息和作者信息
Java代码审查工具
07-28
代码评审是指在软件开发过程中,对源代码的系统性检查,随时知道自己代码的质量
java安全类源码-Cobra:SourceCodeSecurityAudit(源代码安全审计)
06-15
java安全类源码Cobra 该项目设计已无法实现当前白盒扫描要求,已不在维护,仅做研究使用,请勿在生产环境使用 Introduction(介绍) Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码中的大部分显着的安全问题和漏洞。 Features(特点) Multi-language Supported(支持多种开发语言) 支持PHP、Java等开发语言,并支持数十种类型文件。 Multi-Vulnerabilities Supported(支持多种漏洞类型) 首批开放数万条不安全的依赖检查规则和数十条代码安全扫描规则,后续将持续开放更多扫描规则。 GUI/CLI/API Mode(命令行模式和API模式) 提供本地Web Server服务,可使用GUI可视化操作,也可支持本地API接口,方便和其它系统(发布系统、CI等)对接扩展。 Screenshot(截图) Contributors(贡献者) 项目由发起并主导,核心开发者、、、,也感谢其他,欢迎提交PR。 Links(链接)
JWebScan,Java版网站漏洞扫描器
01-23
JWebScan,Java版网站漏洞扫描器
Java代码审计工具宝典】:选型指南与使用技巧大全
本文系统地介绍了Java代码审计工具的选型、使用技巧以及在实战中的应用,并展望了其未来发展趋势。首先,概述了代码审计工具的重要性和选型标准,包括功能、性能、易用性等因素,并对静态与动态分析工具进行了对比。...
java 代码审计工具铲子 SAST 与 CodeQL 的对比
chanziSAST的博客
12-25 532
每种工具都有其独特的优势和适用场景,选择哪种工具取决于您的具体需求,如预算、团队技能、项目规模和特定的安全需求。• 支持主流的Java开发框架,采用轻量、快捷的污点分析技术,支持无代码场景的反编译扫描,便捷的自定义扫描规则。• 基于抽象语法树(AST)生成的数据库进行分析,提供跨语言支持,强大的查询语言,支持数据流与控制流分析。• 强调简单易用,快速安装和操作,一键创建扫描任务,快速查看结果,快速开发规则。• 由GitHub开发,专注于代码查询和分析,提供强大的查询语言进行代码分析。
JAVA代码审查工具
jeast
04-10 1787
1. 源代码的质量平台 Sonar 是一个开源平台,用于管理Java源代码的质量。从 Sonar 1.6 版本开始,Sonar从一个质量数据报告工具,转变成为现在的代码质量管理平台。 主要特点:•代码覆盖:通过单元测试,将会显示哪行代码被选中•改善编码规则•搜寻编码规则:按照名字,插件,激活级别和类别进行查询•项目搜寻:按照项目的名字进行查询 •对比数据:比较同一张表中的任何测量的趋势   ...
代码审计工具
weixin_40855279的博客
08-13 2958
一般工具导出的报告,可读性较差,可以作为编写代码审计报告的参考,但是无法作为代码审计报告直接提交,给客户提交的代码审计报告需要自行编写。:根据实际情况进行选择,也可以全部选择默认,有些客户不想解决代码质量问题,或者只想关注远程能被利用的漏洞,则前两个问题就选择选项3即可。如果年限过久,规则库需要升级,一般license是有限制的,无法在线升级,其他方法就是通过其他渠道获取一个最新的规则库,手工对。,高级选项,如果需要扫码的源代码是非Java代码,就需要选择高级选项,工具支持大部分主流开发语言的扫描。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值