1. Toy模板网首页
  2. > Toy博客

代码审计-审计工具介绍-DAST+SAST+IAST项目

9月前 作者:xiaoheizi安全 分类:Toy博客 阅读(36) 违法举报

这篇具有很好参考价值的文章主要介绍了代码审计-审计工具介绍-DAST+SAST+IAST项目。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

DAST+SAST+IAST项目介绍

DAST:

动态应用程序安全测试(Dynamic Application Security Testing)技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击。

SAST:

静态应用程序安全测试(Static Application Security Testing)技术通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。

IAST:

交互式应用程序安全测试(Interactive Application Security Testing)是2012年Gartner公司提出的一种新的应用程序安全测试方案,通过代理、VPN或者在服务端部署Agent程序,收集、监控Web应用程序运行时函数执行、数据传输,并与扫描器端进行实时交互,高效、准确的识别安全缺陷及漏洞,同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

 

各类语言审计工具

PHP:Seay RIPS CheckMarx Fortify VCG Kunlun-M

NET:VCG Fortify CheckMarx

Java:Fortify CheckMarx VCG

Python:Bandit Fortify CheckMarx

JS:Kunlun-M NodeJsScan Fortify CheckMarx

Go:Gosec CheckMarx

 

演示:SAST各类语言审计工具详细介绍

工具:Seay源代码审计系统(还可以当phpstorm查看代码)

语言:php

下载:https://github.com/f1tz/cnseay

使用:启动工具,选择 新建项目 导入源码——点击 自动审计 就会自动将可能存在漏洞的代码点列出来。

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

 

工具:KunLun-M (推荐使用-非常香)

介绍:KunLun-M是一个完全开源的静态白盒扫描工具,支持PHP、JavaScript的语义扫描,基础安全、组件安全扫描,Chrome Ext\Solidity的基础扫描。

语言:PHP,JS

下载:https://github.com/LoRexxar/Kunlun-M

安装:

1、安装依赖库:pip install -r requirements.txt

2、配置文件启用(修改文件后缀):Kunlun_M/settings.py.bak ——> Kunlun_M/settings.py

3、初始化数据库:python kunlun.py init initialize

4、加载规则数据库:python kunlun.py config load

命令行模式使用(python3):python kunlun.py scan -t 源码路径

扫描完成:结果保存在工具根目录result目录下

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

WEB模式使用:python kunlun.py web -p 9999

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

访问:localhost:9999  进入web模式。

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

 

工具:VCG (老牌工具,一般般)

语言:PHP,NET,JAVA

下载:https://github.com/nccgroup/VCG

使用:运行exe程序,第一步必须点击Settings选择源码语言。第一次启动程序会弹出一个框,双击进入点击ok即可。

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

第二步,点击File——Net Target Directory 选择源码

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

第三步,点击scan选择扫描模式,开始扫描

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

第四步,扫描完成会弹出如下选项,双击进入选择第一个选项,点击ok即可查看审计详情。

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

审计详情:

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

第五步,点击Summary Table 即可查看漏洞产生的代码位置

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

 

工具:Bandit

语言:Python

下载:https://github.com/PyCQA/bandit

安装:pip install bandit

工具根目录执行:

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

linux:

安装后会在当前Python目录下的bin中生成工具运行程序

使用:bandit.exe -r 需要审计的源码目录

windows:

安装后会在当前Python目录下的script中生成工具运行程序

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全

使用:bandit.exe -r 需要审计的源码目录

python/scripts目录进入命令行执行:扫描结果展示在命令行——>高危:红色  中危:黄色  低危:蓝色

使用 -o a.txt(文件名)  -f txt(文件类型) 这两个参数即可将扫描结果保存到python/scripts目录

代码审计-审计工具介绍-DAST+SAST+IAST项目,代码审计,网络安全,web安全文章来源地址https://www.toymoban.com/news/detail-663864.html

到了这里,关于代码审计-审计工具介绍-DAST+SAST+IAST项目的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 代码审计工具之Fortify安装及使用

    代码审计工具之Fortify安装及使用

    一、Fortify 工具介绍 二、 Fortify工具下载 三、、安装步骤   Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则

    2024年02月13日
    浏览(39)

  • 探索 Sweet Justice:一个快速、安全的代码审计工具

    在软件开发过程中,对代码进行审计是非常重要的一步。这可以帮助我们发现潜在的安全漏洞、性能问题以及其他可能影响产品质量的因素。然而,手动审计是一项耗时且繁琐的任务,因此需要一种更有效的方法来帮助开发者更快地完成这项任务。 这就是 Sweet Justice 的作用所

    2024年04月10日
    浏览(41)

  • SAST——Checkmarx静态检测工具收集(2)

    Checkmarx是一家以色列高科技软件公司,是世界上著名的代码安全扫描软件Checkmarx CxSAST的生产商,拥有应用安全测试的业内前沿解决方案-CxSAST、CxOSA、CxIAST。分别对应的SAST、SCA和IAST三类应用安全测试类型工具。 Checkmarx CxSAST主要功能是查找安全漏洞、质量缺陷、逻辑问题和后

    2024年02月06日
    浏览(28)
  • 代码审计-ASP.NET项目-未授权访问漏洞

    代码审计-ASP.NET项目-未授权访问漏洞

    代码审计必备知识点: 1、代码审计开始前准备: 环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。 2、代码审计前信息收集: 审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。 3、代码审计挖掘漏洞根本: 可控

    2024年02月12日
    浏览(33)
  • 白盒代码审计工具——CodeQL安装与使用教程【Linux+Windows】

    白盒代码审计工具——CodeQL安装与使用教程【Linux+Windows】

    该文章参考以下文章,总结提炼而成: CodeQL从入门到放弃 白盒审计工具codeql的安装(踩坑) CodeQL基础知识 Github为了解决其托管的海量项目的安全性问题,收购了CodeQL的创业公司,并宣布 开源CodeQL的规则 部分,这样全世界的安全工程师就可以贡献高效的QL审计规则给Github,

    2024年02月02日
    浏览(36)
  • 网络安全审计概述

    网络安全审计概述

    网络安全审计概述 1.1 网络安全审计概念 网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发

    2024年02月13日
    浏览(41)
  • 【网络安全】3.1 网络安全审计

    【网络安全】3.1 网络安全审计

    网络安全审计是一种检查和评估网络安全控制措施、策略和程序的有效性的过程。网络安全审计的目标是识别网络中可能存在的安全漏洞,以及制定改进计划以提高网络安全。 网络安全审计有助于保护组织的信息资产,防止数据泄露,保证业务连续性,并满足合规性要求。通

    2024年02月08日
    浏览(42)
  • 猿创征文|网络安全的十大经典工具介绍

    猿创征文|网络安全的十大经典工具介绍

    目录 BurpSuite AWVS xray Invicti  Metasploit Nessus OpenVas HCL AppScan Standard Acunetix Cobalt Strike BurpSuite是用于 攻击web应用程序的集成平台 ,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认

    2024年01月17日
    浏览(46)

  • 网络安全攻防演练项目介绍

    有很多朋友问我写的攻防演练是什么? 本文给予回答 网络安全攻防演练是公安部组织的面向税务、电力、电信、银行、铁路、财政、广电、水利、教育、互联网、检察院、法院、石油、交通等行业的政府单位/公司,开展的实战攻防演练,也简称为护网。 攻防演练主要目标是

    2024年02月09日
    浏览(41)
  • 网络安全之认识日志采集分析审计系统

    网络安全之认识日志采集分析审计系统

    日志对于大家来说非常熟悉,机房中的各种系统、防火墙、交换机、路由器等等,都在不断地产生日志。无数实践告诉我们,健全的日志记录和分析系统是系统正常运营与优化以及安全事故响应的基础。我们一起来认识日志采集分析审计系统。 1、日志的概念 日志数据的核心

    2024年02月09日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包