CheckMarx

原创 已于 2023-05-12 22:45:21 修改 · 3k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sqlserver #数据库 #microsoft

于 2023-05-12 22:38:41 首次发布
本文详细介绍了CheckMarx的前置软件安装,包括SQLServer、C++Redist、.NET和JDK,接着讲解了CheckMarx的安装、破解及使用方法,包括项目扫描和漏洞复现,如SQL注入和加密问题。通过实践,作者强调了信息安全工具的重要性和学习过程中的挑战。

目录

1.       软件前置安装... 4

1.1     SQLServer的安装... 4

1.2    安装C++ Redist 2010 and 2015 SP3. 5

1.3    安装.net 6

1.4     JDK的安装... 7

2.       CheckMarx的安装与破解... 7

2.1     CheckMarx的安装... 7

2.2     CheckMarx的破解... 10

3.       CheckMarx的使用... 11

3.1        注册... 11

3.2        汉化... 12

3.3        项目扫描... 12

3.3.1 CheckMarx扫描WebGoat靶场... 12

3.3.2  CheckMarx扫描juice-shop-master靶场... 14

4.       漏洞复现... 16

4.1     SQL注入... 16

4.2    加密失败... 16

5.       实验总结和感想... 17

  1. 软件前置安装
    1. SQLServer的安装
  1. 在QQ群里下载CheckMarx的压缩包并解压。

  1. 第一步先安装SQLServer

如图显示安装完成

    1. 安装C++ Redist 2010 and 2015 SP3
  2. 双击安装包,进行安装

  1. 如图,显示安装完成。

  1. 安装成功后,打开控制面板,启动或者关闭Windows系统,勾选Internet Information Services。

    1. 安装.net
  2. 双击安装包进行安装。

  1. 如图显示安装完成。

    1. JDK的安装

解压jdk的安装包

  1. CheckMarx的安装与破解
    1. CheckMarx的安装
  1. 双击安装包,安装CheckMarx。

  1. 选择多合一安装

  1. 选择JDK的本地路径

  1. 选择好JDK的路径后,重新进行检查,最后点击下一步

  1. 测试SQL服务器

  1. 测试账户完成后,继续点击下一步。

  1. 等待完成安装。

    1. CheckMarx的破解
    1. 双击安装包。

    1. 点击crack it进行破解

  1. CheckMarx的使用
    1. 注册

    1. 汉化

汉化网页版的CheckMarx,点击My Profile,locate设置为中国

    1. 项目扫描

3.3.1 CheckMarx扫描WebGoat靶场

  1. 创建新项目,设置项目名称,规则集

  1. 选择本地文件,并上传,点击计算行数可以计算行数。

  1. 一直点下一步,最后点击完成,开始扫描

  1. 扫描完成后,点击仪表盘,项目状态,点击放大镜,可以看到所有的漏洞

  1. 点击左侧的漏洞等级,就可以详细查看某一个漏洞。

      1. CheckMarx扫描juice-shop-master靶场
  2. 使用相同的方法,先创建项目,设置项目名称,设置规则集。

  1. 上传源码压缩包,准备扫描

  1. 开始扫描

  1. 扫描完成后,点击仪表盘,项目状态,点击放大镜,就可以看到扫描出来的漏洞。

  1. 漏洞复现
    1. SQL注入

我们打开源代码文件,看到代码直接将用户名进行查询,没有进行任何的过滤,如果被黑客进行字符串拼接提交到数据库,将会被解析执行。

    1. 加密失败

打开代码后,看到代码只进行了Hash加密,并没有使用盐值,攻击者可能会反转Hash值。

  1. 实验总结和感想

在完成以上实验过程中,我获得了许多宝贵的经验和感悟。首先,安装CheckMarx需要安装前置软件,安装了SQLServer、C++ Redist、.NET和JDK等软件。其次,学习了CheckMarx的安装与破解过程。CheckMarx是一款功能强大的静态代码分析工具,通过CheckMarx的使用,我体验了它的各种功能和特性。对WebGoat靶场和juice-shop-master靶场进行扫描,让我更加熟悉了这个工具的使用流程。我发现了一些潜在的安全漏洞,这对我的学习和实践都起到了积极的推动作用。

最后,我意识到在信息安全领域中,安装必备软件、使用专业工具以及深入了解漏洞原理都是非常重要的。同时,实验过程中的挑战也让我更加注重细节和持续学习的态度。总的来说,这不仅扩展了我的知识面,还提高了我在信息安全领域的实践能力,我将继续不断学习和探索,不断提升自己在信息安全方面的技术水平。

CheckmarxCxEnterprise服务器安装手册借鉴.pdf
12-25
CheckmarxCxEnterprise服务器安装手册借鉴.pdf
Checkmarx+CxEnterprise+服务器安装手册.doc
02-28
Checkmarx+CxEnterprise+服务器安装手册,方便用于Checkmarx+CxEnterprise的研究。
CheckMarx安装
weixin_56185549的博客
04-28 5518
扫描完成后,点击 “仪表盘”——>“项目状态”,可以找到刚才新建的项目,点击这个放大镜可以查看漏洞的整体分布情况。
【源代码扫描工具】 -‪Checkmarx使用
zhaizhai的博客
03-20 7425
工具地址:http://10.116.56.36/CxWebClient/login.aspx?url=d3c5847f-33e0-4c34-bb06-e579ad8e44ca用户名/密码:Public/Public@123!@1qaz操作步骤:第1步:打开【项目组和扫描->创建新的项目】1、Checkmarx Project Name建议以项目编码为基准,其余可增加版本号等加以标注、2、选...
checkmarx使用笔记、原理
weixin_30730151的博客
02-24 9086
checkmarks是一款商业的代码静态分析工具,和pmd类似的地方是他分析的是java文件,而非class文件。checkmarks使用 .net开发,必须安装在windows上,它的规则也是类似.net语言的语法。 checkmarks 的工作机制大概如下: 1、创建任务时可以通过git、svn、或者上传代码打包。 2、checkmarks会将代码进行语法树解析。 3、然后分析代码中的...
Checkmarx快速入门指南
qq_59611876的博客
04-24 5711
了解checkmarx的使用
Checkmarx SDLC集成接口配置文档-中文说明
03-15
Checkmarx 是一款知名的源代码安全扫描工具,用于在软件开发生命周期(SDLC)中检测潜在的安全漏洞和编码缺陷。SDLC 集成是 Checkmarx 的关键特性,它允许开发人员在编码阶段就能及时发现并修复安全问题,从而提高...
checkmarx_9ht.zip
05-25
【标题】"checkmarx_9ht.zip" 提供的是 Checkmarx 的 CxEnterprise 静态源代码安全漏洞分析和管理工具的相关资源。Checkmarx 是一款业界知名的源代码安全扫描工具,专用于帮助开发者在软件开发生命周期早期发现并...
checkmarx-plugin:该插件增加了通过Checkmarx服务器执行自动代码扫描的功能,并在Jenkins界面中显示了结果摘要和趋势。
05-01
Checkmarx是一款业界知名的静态应用安全测试(SAST)工具,用于检测源代码中的安全漏洞。Jenkins Checkmarx插件则将这两者结合起来,使开发者能够在持续集成/持续部署(CI/CD)流程中方便地进行代码安全性检查。这款...
CxPy:Checkmarx SOAP API
05-17
这是由Python 2.7实现的Checkmarx SOAP API SDK。 入门 如果您想了解有关Checkmarx SOAP API的更多信息,请访问Checkmarx知识中心: : 先决条件 Python套件需求:suds == 0.4 该项目的文件结构 . |-- CxType ...
Checkmarx代码审计/代码检测工具的使用教程,零基础也能学会!!
最新发布
xiangxue666的博客
08-31 3815
Checkmarx代码审计/代码检测工具的使用教程,零基础也能学会!!
checkMarx 测试工具2 part 2(2-4)
01-21
此压缩包比较大 所以在csdn的论坛里面不支持一下上传,只好分四个压缩包去上传,把四个压缩包下载后解压编号1(勿随意更名)就可以自动解压所有压缩包,此功能根据网上很不好找,比较少,更别说破解免费得了,再次特为使用网友准备,欢迎下载……
checkmarx-github-action:Checkmarx 扫描 Github 操作
08-03
- Deprecation Notice: - This action will be deprecated soon. - Please consider to migrate ASAP to Checkmarx CxFlow Action available in here: - https://github.com/checkmarx-ts/checkmarx-cxflow-github-action Checkmarx Github 操作 使用 Github Action Integration 使用 Checkmarx 查找 Github 存储库中的安全漏洞。 这是一个 CLI 包装器,用于触发 Checkmarx SAST 或 OSA 扫描。 Checkmarx SAST (CxSAST) 是一种企业级灵活准确的静态分析解决方案,用于识别自定义代码中的数百个安全漏洞
checkMarx 测试工具 part 1(1-4)
01-21
此压缩包比较大 所以在csdn的论坛里面不支持一下上传,只好分四个压缩包去上传,把四个压缩包下载后解压编号1(勿随意更名)就可以自动解压所有压缩包,此功能根据网上很不好找,比较少,更别说破解免费得了,再次特为使用网友准备,欢迎下载……
checkMarx 测试工具3 part 3(3-4)
01-21
此压缩包比较大 所以在csdn的论坛里面不支持一下上传,只好分四个压缩包去上传,把四个压缩包下载后解压编号1(勿随意更名)就可以自动解压所有压缩包,此功能根据网上很不好找,比较少,更别说破解免费得了,再次特为使用网友准备,欢迎下载……
第38篇:Checkmarx代码审计/代码检测工具的使用教程(1)
ABC_123的博客
12-21 1万+
Part1 前言Checkmarx是以色列研发的一款代码审计工具,是.NET开发的,只能在Windows下使用。很多人喜欢把它和fortify进行比较,其实很难说两款工具孰优孰劣,各有秋千吧,两款工具配合起来互补一下更好。Checkmarx和Fortify一样,是商业版的,没有免费版。就我本人实战使用的经验来看,对于有些高危漏洞,有时候Fortify能扫出来,有时候Checkmarx能扫出来,...
Checkmarx-简单了解记录
小冯先生的博客
06-11 7644
经过了解Checkmarx CxEnterprise目前支持主流语言 Java、JSP、 JavaSript、 VBSript、C#、 ASP net、VB.Net、VB6、C/C++、ASP、PHP,Ruby、 Android、APEX( AppExchange platform)、 API to3rdparty languages。 由于团队使用golang、nodejs技术栈不适用,就只做了...
checkmarx下载地址
热门推荐
cnbird's blog
10-16 1万+
http://down.51cto.com/data/826321
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王斐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值