CheckMarx

已于 2023-05-12 22:45:21 修改
阅读量2.8k 收藏 11
点赞数 3
文章标签: sqlserver 数据库 microsoft
于 2023-05-12 22:38:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wfqiaodaima/article/details/130651294
版权

目录

1.       软件前置安装... 4

1.1     SQLServer的安装... 4

1.2    安装C++ Redist 2010 and 2015 SP3. 5

1.3    安装.net 6

1.4     JDK的安装... 7

2.       CheckMarx的安装与破解... 7

2.1     CheckMarx的安装... 7

2.2     CheckMarx的破解... 10

3.       CheckMarx的使用... 11

3.1        注册... 11

3.2        汉化... 12

3.3        项目扫描... 12

3.3.1 CheckMarx扫描WebGoat靶场... 12

3.3.2  CheckMarx扫描juice-shop-master靶场... 14

4.       漏洞复现... 16

4.1     SQL注入... 16

4.2    加密失败... 16

5.       实验总结和感想... 17

  1. 软件前置安装
    1. SQLServer的安装
  1. 在QQ群里下载CheckMarx的压缩包并解压。

  1. 第一步先安装SQLServer

如图显示安装完成

    1. 安装C++ Redist 2010 and 2015 SP3
  2. 双击安装包,进行安装

  1. 如图,显示安装完成。

  1. 安装成功后,打开控制面板,启动或者关闭Windows系统,勾选Internet Information Services。

    1. 安装.net
  2. 双击安装包进行安装。

  1. 如图显示安装完成。

    1. JDK的安装

解压jdk的安装包

  1. CheckMarx的安装与破解
    1. CheckMarx的安装
  1. 双击安装包,安装CheckMarx。

  1. 选择多合一安装

  1. 选择JDK的本地路径

  1. 选择好JDK的路径后,重新进行检查,最后点击下一步

  1. 测试SQL服务器

  1. 测试账户完成后,继续点击下一步。

  1. 等待完成安装。

    1. CheckMarx的破解
    1. 双击安装包。

    1. 点击crack it进行破解

  1. CheckMarx的使用
    1. 注册

    1. 汉化

汉化网页版的CheckMarx,点击My Profile,locate设置为中国

    1. 项目扫描

3.3.1 CheckMarx扫描WebGoat靶场

  1. 创建新项目,设置项目名称,规则集

  1. 选择本地文件,并上传,点击计算行数可以计算行数。

  1. 一直点下一步,最后点击完成,开始扫描

  1. 扫描完成后,点击仪表盘,项目状态,点击放大镜,可以看到所有的漏洞

  1. 点击左侧的漏洞等级,就可以详细查看某一个漏洞。

      1. CheckMarx扫描juice-shop-master靶场
  2. 使用相同的方法,先创建项目,设置项目名称,设置规则集。

  1. 上传源码压缩包,准备扫描

  1. 开始扫描

  1. 扫描完成后,点击仪表盘,项目状态,点击放大镜,就可以看到扫描出来的漏洞。

  1. 漏洞复现
    1. SQL注入

我们打开源代码文件,看到代码直接将用户名进行查询,没有进行任何的过滤,如果被黑客进行字符串拼接提交到数据库,将会被解析执行。

    1. 加密失败

打开代码后,看到代码只进行了Hash加密,并没有使用盐值,攻击者可能会反转Hash值。

  1. 实验总结和感想

在完成以上实验过程中,我获得了许多宝贵的经验和感悟。首先,安装CheckMarx需要安装前置软件,安装了SQLServer、C++ Redist、.NET和JDK等软件。其次,学习了CheckMarx的安装与破解过程。CheckMarx是一款功能强大的静态代码分析工具,通过CheckMarx的使用,我体验了它的各种功能和特性。对WebGoat靶场和juice-shop-master靶场进行扫描,让我更加熟悉了这个工具的使用流程。我发现了一些潜在的安全漏洞,这对我的学习和实践都起到了积极的推动作用。

最后,我意识到在信息安全领域中,安装必备软件、使用专业工具以及深入了解漏洞原理都是非常重要的。同时,实验过程中的挑战也让我更加注重细节和持续学习的态度。总的来说,这不仅扩展了我的知识面,还提高了我在信息安全领域的实践能力,我将继续不断学习和探索,不断提升自己在信息安全方面的技术水平。

CheckMarx安装
weixin_56185549的博客
04-28 4828
扫描完成后,点击 “仪表盘”——>“项目状态”,可以找到刚才新建的项目,点击这个放大镜可以查看漏洞的整体分布情况。
Checkmarx SDLC集成接口配置文档-中文说明
03-15
Checkmarx 是一款知名的源代码安全扫描工具,用于在软件开发生命周期(SDLC)中检测潜在的安全漏洞和编码缺陷。SDLC 集成是 Checkmarx 的关键特性,它允许开发人员在编码阶段就能及时发现并修复安全问题,从而提高...
checkMarx 测试工具2 part 2(2-4)
01-21
此压缩包比较大 所以在csdn的论坛里面不支持一下上传,只好分四个压缩包去上传,把四个压缩包下载后解压编号1(勿随意更名)就可以自动解压所有压缩包,此功能根据网上很不好找,比较少,更别说破解免费得了,再次特为使用网友准备,欢迎下载……
checkmarx_9ht.zip
05-25
checkmarx_9ht
Checkmarx资源文件下载介绍
最新发布
gitblog_06739的博客
04-11 352
Checkmarx资源文件下载介绍 【下载地址】Checkmarx资源文件下载介绍 Checkmarx资源文件为开发者提供了便捷的工具和数据支持,特别适用于需要使用checkmarx_9ht的用户。该文件以压缩包形式提供,内含丰富资源,帮助用户高效完成相关任务。下载前请确认具备解压能力和所需软件环境,并仔细阅读使用说明,...
Checkmarx+CxEnterprise+服务器安装手册.doc
02-28
Checkmarx+CxEnterprise+服务器安装手册,方便用于Checkmarx+CxEnterprise的研究。
checkmarx使用笔记、原理
weixin_30730151的博客
02-24 8984
checkmarks是一款商业的代码静态分析工具,和pmd类似的地方是他分析的是java文件,而非class文件。checkmarks使用 .net开发,必须安装在windows上,它的规则也是类似.net语言的语法。 checkmarks 的工作机制大概如下: 1、创建任务时可以通过git、svn、或者上传代码打包。 2、checkmarks会将代码进行语法树解析。 3、然后分析代码中的...
Checkmarx代码审计/代码检测工具的使用教程,零基础也能学会!!
xiangxue666的博客
08-31 2928
Checkmarx代码审计/代码检测工具的使用教程,零基础也能学会!!
Checkmarx快速入门指南
qq_59611876的博客
04-24 4937
了解checkmarx的使用
checkmarx-plugin:该插件增加了通过Checkmarx服务器执行自动代码扫描的功能,并在Jenkins界面中显示了结果摘要和趋势。
05-01
Checkmarx是一款业界知名的静态应用安全测试(SAST)工具,用于检测源代码中的安全漏洞。Jenkins Checkmarx插件则将这两者结合起来,使开发者能够在持续集成/持续部署(CI/CD)流程中方便地进行代码安全性检查。这款...
Checkmarx.API:这是Checkmarx SAST的API包装器(REST,SOAP和OData API)
04-14
Checkmarx.API 该项目的目标是为.NET Core提供Checkmarx SAST(REST,SOAP和OData API)的API包装器,以在不同的Checkmarx版本(8.9或更高版本)之间以透明的方式工作
checkmarx-github-action:Checkmarx 扫描 Github 操作
08-03
- Deprecation Notice: - This action will be deprecated soon. - Please consider to migrate ASAP to Checkmarx CxFlow Action available in here: - https://github.com/checkmarx-ts/checkmarx-cxflow-github-action Checkmarx Github 操作 使用 Github Action Integration 使用 Checkmarx 查找 Github 存储库中的安全漏洞。 这是一个 CLI 包装器,用于触发 Checkmarx SAST 或 OSA 扫描。 Checkmarx SAST (CxSAST) 是一种企业级灵活准确的静态分析解决方案,用于识别自定义代码中的数百个安全漏洞
checkMarx 测试工具 part 1(1-4)
01-21
此压缩包比较大 所以在csdn的论坛里面不支持一下上传,只好分四个压缩包去上传,把四个压缩包下载后解压编号1(勿随意更名)就可以自动解压所有压缩包,此功能根据网上很不好找,比较少,更别说破解免费得了,再次特为使用网友准备,欢迎下载……
checkMarx 测试工具3 part 3(3-4)
01-21
此压缩包比较大 所以在csdn的论坛里面不支持一下上传,只好分四个压缩包去上传,把四个压缩包下载后解压编号1(勿随意更名)就可以自动解压所有压缩包,此功能根据网上很不好找,比较少,更别说破解免费得了,再次特为使用网友准备,欢迎下载……
CheckmarxCxEnterprise服务器安装手册借鉴.pdf
12-25
CheckmarxCxEnterprise服务器安装手册借鉴.pdf
Checkmarx企业级静态源代码安全漏洞和质量缺陷扫描管理方案
08-24
一个checkmarx的说明文档
【源代码扫描工具】 -‪Checkmarx使用
zhaizhai的博客
03-20 7225
工具地址:http://10.116.56.36/CxWebClient/login.aspx?url=d3c5847f-33e0-4c34-bb06-e579ad8e44ca用户名/密码:Public/Public@123!@1qaz操作步骤:第1步:打开【项目组和扫描->创建新的项目】1、Checkmarx Project Name建议以项目编码为基准,其余可增加版本号等加以标注、2、选...
第38篇:Checkmarx代码审计/代码检测工具的使用教程(1)
热门推荐
ABC_123的博客
12-21 1万+
Part1 前言Checkmarx是以色列研发的一款代码审计工具,是.NET开发的,只能在Windows下使用。很多人喜欢把它和fortify进行比较,其实很难说两款工具孰优孰劣,各有秋千吧,两款工具配合起来互补一下更好。Checkmarx和Fortify一样,是商业版的,没有免费版。就我本人实战使用的经验来看,对于有些高危漏洞,有时候Fortify能扫出来,有时候Checkmarx能扫出来,...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王斐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值