铲子SAST-java代码反编译安全扫描

最新推荐文章于 2025-07-21 00:00:00 发布
最新推荐文章于 2025-07-21 00:00:00 发布
阅读量305 收藏 9
点赞数 5
CC 4.0 BY-SA版权
分类专栏: chanzi SAST 文章标签: java 安全性测试 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chanziSAST/article/details/148469414

功能介绍

 

  • 铲子提供了反编译扫描java代码漏洞的功能,以帮助用户在没有完整代码,但是有class或jar文件的情况下进行扫描。

适用场景

 

  • 只有class文件或jar包,没有源代码
  • 有一部分代码,还有一部分逻辑在class或jar文件

反编译扫描过程

 

  1. 创建任务>打开反编译>选择需要反编译的文件>开始任务
  2. 扫描引擎获取需要反编译的 class 和 jar 文件列表
  3. 反编译列表中的 class 文件
  4. 解压列表中的 jar 文件,解压时跳过不需要反编译的 package
  5. 对解压后的 jar 文件中的 class 进行反编译
  6. 对整个代码目录进行扫描(包括目录中不需要反编译的代码 和 反编译之后的java代码)
  7. 任务开始后,扫描输出窗口会显示需要反编译的jar/class文件数量,以及每个jar文件中需要反编译的package/class的数量
  • 注意:如果是war包、或者jar包里嵌套jar包,需要您手动做一次解压操作

开启反编译操作

 

  • 在创建任务时开启反编译
  • 选择需要反编译的 jar 或 class
  • 针对 jar 文件您可以只选择其中的一部分 package 进行反编译
  • 如果您需要反编译的文件较多,逐个勾选就会特别繁琐,您可以通过关键字匹配来快速勾选

操作演示

 

  • 如图勾选反编译-> 右键按关键字勾选-> 通过关键字选择package或class
  • 选择包主要用于 jar 文件里的 class 反编译时缩小反编译范围
  • 尽量按需勾选,这样可以更快速的完成扫描,选择大量 jar 包可能导致扫描时间过长或内存溢出
  • 关键字勾选:匹配jar文件中的包路径、匹配非jar里的class的文件路径

 

铲子SAST,专注于发现Java代码安全漏洞

Java代码审计工具详解
悦分享
01-23 279
Fortify是旗下AST (应用程序安全测试)产品 ,其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Center是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。
Java代码审查工具
07-28
代码评审是指在软件开发过程中,对源代码的系统性检查,随时知道自己代码的质量
铲子SAST:一款针对java代码审计的工具之反编译扫描
chanziSAST的博客
11-12 558
铲子提供了反编译扫描java代码漏洞的功能,以帮助用户在没有完整代码,但是有class或jar文件的情况下进行扫描。
Java 代码审计工具—铲子 SAST
chanziSAST的博客
10-06 1154
代码Java 代码审计工具—铲子 SAST
新一代 Java 代码审计工具—铲子 SAST
chanziSAST的博客
10-09 2189
支持语言: java(Servlet&filter、spring、dubbo、thirft、mybatis、dropwizard、jdk内置httpserver、jsp,xml、yaml、properties等)采用技术:污点分析,铲子会将java、xml(mybatis、dubbo)等统一构建数据流图,无需编译,然后进行污点分析,漏洞结果可在数据流窗口进行方便的阅读。
CheckStyle(Java代码审计工具)
h405589168的专栏
04-12 369
2012年7月微软MVP申请开始啦!           优快云十大风云博客专栏评选结果公布!            优快云博客皮肤评选活动火爆开启! CheckStyle(Java代码审计工具) 分类: Java工具类 2011-09-23 10:52 76人阅读 评论(0) 收藏 举报   假设Checkstyle位于全局的classpath中,可以使用如下的t...
Java 代码审计工具-铲子 SAST
11-27
反编译:支持反编译扫描,可以在新建任务时选择需要反编译的jar或class文件,也可以在审计过程中对单个class或jar文件进行反编译阅读代码。 编辑器:多功能代码编辑器,为了更方便的阅读代码,减少用户在sast工具及...
java代码审计工具
02-26
新一代的 Java 代码审计工具——铲子 SAST 支持主流的 Java 开发框架,采用了轻量、快捷的污点分析技术,并能支持无代码场景下的反编译扫描。此外,这款工具还提供了便捷的自定义扫描规则功能,使得开发者可以根据...
JAVA系列代码审计工具
03-21
它还提供了无代码场景下的反编译扫描能力,适用于仅有JAR或CLASS文件而缺乏源码的情况[^5]。 - **功能亮点** - 支持本地代码和远程Git仓库的扫描。 - 提供灵活的任务创建选项,允许用户指定目标路径或者配置版本...
Java代码安全性分析的自动化工具
最新发布
java专栏
07-21 543
Java开发中,代码安全性分析是确保应用程序抵御潜在攻击的关键环节。选择Java代码安全性分析工具时,需综合考虑团队规模、项目需求、预算及集成复杂度。对于开源项目,推荐组合使用。或新兴的AI驱动工具(如飞算 JavaAI)。通过自动化工具与人工审查结合,可显著降低安全漏洞风险。而对于高安全性要求的企业级项目,可引入商业工具如。🔥关注墨瑾轩,带你探索编程的奥秘!🔥超萌技术攻略,轻松晋级编程高手🚀。🔥技术宝库已备好,就等你来挖掘🚀。🔥订阅墨瑾轩,智趣学习不孤单🚀。🔥即刻启航,编程之旅更有趣🚀
一个职业院校漏洞是如何挖掘出来的
Python84310366的博客
09-03 429
这个是之前挖掘到的漏洞,目前网站进行重构做了全新的改版,但是这个漏洞特别经典,拿出来进行分享。看到src上面的很多敏感信息泄露,所以自己也想找一个敏感信息泄露,官网如图:发现在下面有一个数字校园入口,就想着看看登陆处有没有sql注入、js信息泄露等发现有两个功能,忘记密码&&账号查询 先看账号查询通过身份证号可以查询出职工号来,这里如果用爆破,应该可以爆破出对应的学号以及身份证号看一下加载的js文件这里很奇怪,第一次试着访问这个接口但并不知道id所代表的参数信息 于是回到之前的界面,点击忘记密码。
JavaSinkTracer:自研Java代码审计工具
道阻且长,行则将至
06-21 1301
JavaSinkTracer 是基于 Python javalang 库开发的一款轻量级 Java代码漏洞审计工具,开发人员 Tr0e。
Java代码审计
谷哥的小弟
04-11 1735
代码审计是一种安全测试方法,它通过对软件应用程序代码的静态分析和动态测试来确定应用程序中存在的安全漏洞。其主要目的是检测应用程序中可能被攻击者利用的安全漏洞,如输入验证问题、访问控制问题、缓冲区溢出、SQL注入等。通过进行代码审计可以发现应用程序中的潜在安全漏洞并提出修复建议,以提高应用程序的安全性
java代码审计
gjgj的博客
07-18 4886
https://www.cnblogs.com/nongchaoer/p/13324114.html 有些源码搭建网站,会自动创建 数据库,但有些 需要先手动创建数据库,才可以搭建网站。视情况而定。 这里的报错,看报错信息,进行更改就好。 使用低版本的phpsyudy 搭建 代码审计——白盒测试 1、web应用/web网站 搭建成功后,使用web 漏洞扫描工具进行探针。 2、有源码的情况下,使用源码审计工具 进行漏洞挖掘。代码审计工具:N
Java -- 代码审计
tryheart的博客
09-19 694
JAVA代码审计 文件下载 检查文件处理时,是否有对路径进行强限定,因为强限定路径可以避免用户恶意构建下载文件的路径 文件上传 了解文件路径 src—源代码目录(在部署的时候不会放入到容器里) WebContent(WebApp\Web)—Web 应用,服务器部署目录,在服务器中生成当前文件同名的目录部署,表示工程根路径。如WEBDemo工程的部署,会将 WebContent改名为WEBDemo。如需要访问改目录则直接使用http://localhost:8080/WEBDemo ​ WEB-INF
java代码审查工具_16 个好用的 Code Review 工具
weixin_39644139的博客
11-08 2540
作者 |Guru99译者 | 刘雅梦策划 | 小智Code Review 工具自动化了代码审核过程。它们有助于静态代码分析,这对于交付可靠的软件应用程序至关重要。市场上有太多的 Code Review 工具了,以至于为我们的项目选择一个合适的 Code Review 工具都会成为一种挑战。本文精选了 16 个 Code Review 工具,它们都具有最受欢迎的特性和最新的下载链接。该列...
Java代码审计】代码审计的方法及常用工具
大河之犬的博客
05-10 2266
Eclipse 是 Java 开发者非常喜欢的工具之一,它具有强大的编辑、调试功能,允许开发人员安装不同的插件,从而拓展不同的功能。Burp Suite 是渗透测试工作者必备的一款工具,同时对于代码审计者和安全研究人员来说,这也是一款比较重要的测试工具,其跨平台、便捷、强大的功能以及丰富的插件,深受信息安全从业者的喜爱。Ysoserial 是一款开源的 Java 反序列化测试工具,内部集成有多种利用链,可以快速生成用于攻击的代码,也可以将新公开的反序列化漏洞利用方式自行加入 Ysoserial 中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值