分类
全部
产品
厂商
领域
文章
关联搜索
技术思考
Web安全
webshell
SaaS
主机安全
本文尝试利用Javascript_AST_Parse.script插件,对Acunetix WVS扫描器进行一定的反制测试。
116人阅读
2024-07-13
静态代码分析的工具非常多,有开源或商业的,有国内、外之分,有基于关键字正则匹配、或AST语义分析、亦或IR/CFG的代码分析。不过从甲方安全建设的视角来看,首要考虑成本和效果,故提供以下几点建议: 1、根据公司技术栈选择工具,具体来说就是看主流开发语言,因为有的工具确实会对某个语言支持得更好,表现在高检出率(POC时尽量不要用知名漏洞靶场); 2、破解版的SAST商业工具很少,但在国内却广泛传播着国外的某个破解工具,目前来看还有小范围更新规则库,个人研究或缺少预算的可以看看。但针对该情况,更推荐使用开源工具(不主张企业级用破解版,会带来麻烦); 3、从检测效果来看,正则关键匹配方式明显是误报最高的,但在有的场景中比较好用,比如数据流中断、想要快速检出具体的某一类漏洞.时..故不应考虑技术是否先进,不要指望一个工具能解决所有问题。在工具链建设时,可以先主、然后不断的丰富不同原理但又能扫出漏洞的工具。 总的来说,要做好代码安全扫描,无论选择怎样的工具都会有一个前提:企业配备具备代码审计的人员,持续做开发安全运营。附静态代码分析工具大全(国外与开源版):https://owasp.org/www-community/Source_Code_Analysis_Tools 更多软件安全内容,可以访问: 1、<a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485635&idx=1&sn=d1f3c10665061d46ee3042a932c32af5&chksm=eb6c2abbdc1ba3adc13596ff1174f5431e597f851cd4560e31daa7aa256e39aecca1c0f9c2a0&scene=142#wechat_redirect" target="_blank">SDL100问:我与SDL的故事</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485702&idx=1&sn=cdb42998335935cce5513a731f2969e6&chksm=eb6c2b7edc1ba268d2847e2083231fe5f964efea2ab8c7d0ffb16d081683c79dda8529682693&token=1925672008&lang=zh_CN&scene=142#wechat_redirect" target="_blank">SDL与DevSecOps有何异同?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485711&idx=1&sn=79e9ebca9eae85d4d4cb6fcf6639fcf5&chksm=eb6c2b77dc1ba2616e6adf76413422781c666d6a9f2cf734fb7097b791c5ddd2762ef4673547&scene=142#wechat_redirect" target="_blank">如何在不同企业实施SDL?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485724&idx=1&sn=1d9fedf471d58919a2b0ddf99d10c9d0&chksm=eb6c2b64dc1ba2721a4cdcaee3036ed61dab0c91f97e794a6ed5a59b3be74872a233ed0eaf45&scene=142#wechat_redirect" target="_blank">SAST误报太高,如何解决?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485759&idx=1&sn=a362896234e1d0e7403befd9c2312567&chksm=eb6c2b47dc1ba2515c97c887e6b7ee6119c1d26e6ba9aad4eace374350f68c3566c1db005d03&scene=142#wechat_redirect" target="_blank">SDL需要哪些人参与?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485772&idx=1&sn=37a833b95317746945bb08e3940d07ff&chksm=eb6c2b34dc1ba22200369c45c0e871cd708c86810da3b64c09e7c8c4ca39fedc4fefa7631ad3&scene=142#wechat_redirect" target="_blank">在devops中做开发安全,会遇到哪些问题?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485785&idx=1&sn=091cdd44050411ad490e95222221e3d8&chksm=eb6c2b21dc1ba2373c3f566a9500661bec26d4b805e5614cb4f726a4876e139014cb13c65abe&scene=142#wechat_redirect" target="_blank">如何实施安全需求?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485798&idx=1&sn=e7d01d58260deb4ea5f59f83227cf33e&chksm=eb6c2b1edc1ba20816d5738533156096cb6c8872924cba3dce37003af24e8228fd87365dff35&scene=142#wechat_redirect" target="_blank">安全需求,有哪些来源?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485811&idx=1&sn=73876a6b1c669c165657e3af62e0f10a&chksm=eb6c2b0bdc1ba21dbde4074b1c8c24223eab3a7a546fd2301fbfa7a2385bb2db682eaa3555b6&scene=142#wechat_redirect" target="_blank">安全需求怎么实现自动化?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485824&idx=1&sn=667824a4531a35cd67ce2f8d6581f81d&chksm=eb6c2bf8dc1ba2eed4251327b82c27d36eac17b338bb7240fe23bdaa66daf1e7823d8a331a7a&scene=142#wechat_redirect" target="_blank">实施安全需求,会遇到哪些难题?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485837&idx=1&sn=8b4f4c703994290e23feb0253b8da090&chksm=eb6c2bf5dc1ba2e3686c75ffe5d278ce534ff037401411662dda783344579497ac2d9745466b&scene=142#wechat_redirect" target="_blank">安全需求和安全设计有何异同及关联?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485850&idx=1&sn=21ed85d46c64552edfb2ca8da44b3c83&chksm=eb6c2be2dc1ba2f4ca6a95dd3dbc7bb916e9cbaba5d3f41b5eb470f4bcc5497db568bbdbe5cc&scene=142#wechat_redirect" target="_blank">设计阶段应开展哪些安全活动?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485863&idx=1&sn=329eba45ab509e199463e371b1e99fcf&chksm=eb6c2bdfdc1ba2c97e40ee5d0b81df82469b5bf5ca1825de47dc9dc8acee2a4a7e8841fc7257&scene=142#wechat_redirect" target="_blank">有哪些不错的安全设计参考资料?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485876&idx=1&sn=2feca1c97cf0a17188fd2c4970859caf&chksm=eb6c2bccdc1ba2da049b0488bc3d7993b9c96e3f8f5d7f77c4db7b34cff257f134477697b854&scene=142#wechat_redirect" target="_blank">安全设计要求怎么做才能落地?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485889&idx=1&sn=0c983d68ba83d646e9470f5d8669f48a&chksm=eb6c2bb9dc1ba2af6cdae9da58937fa0d4b6ee43872893ad329681666b2b046fd2d6df455f0e&scene=142#wechat_redirect" target="_blank">有哪些威胁建模方法论?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485902&idx=1&sn=ad38f91a016b55c4a2312f18524b635c&chksm=eb6c2bb6dc1ba2a03c0fb89c42ff82fb6f0046b4e0ecb394e6d2e0f963aa9f9af70b4f203099&scene=142#wechat_redirect" target="_blank">有哪些威胁建模工具?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485970&idx=1&sn=2f2ab597d88d48dd8b1af97bb5f61e53&chksm=eb6c286adc1ba17cddfd1661276af76a47a0f99b66fa115f21b1f1771e1efe0546fe8b9f188d&scene=142#wechat_redirect" target="_blank">如何开始或实施威胁建模?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247485987&idx=1&sn=1f818f82c931939ef1046ef10520901c&chksm=eb6c285bdc1ba14d794b8de02c7ced703fddd72e62c9833b35472f7282a5646339243fd79d7d&scene=142#wechat_redirect" target="_blank">威胁建模和架构安全评审,有何异同?</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486000&idx=1&sn=b564e99bb7903a7514c2fb59be6cd8ba&chksm=eb6c2848dc1ba15ece91485d3391d2e2a3510124cece348daba4afa6f501ec9bdd0daf84a7e4&scene=142#wechat_redirect" target="_blank">SDL 18/100问:编码阶段,开展哪些安全活动?</a> 2、SDL最初实践系列 <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484219&idx=1&sn=6ff469339838922b9010463eca27dce1&chksm=eb6c2143dc1ba855a37525e4314805aededef6ff045a222b10e2111326ee88d742a4919d6a2c&scene=142#wechat_redirect" target="_blank">开篇</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484307&idx=1&sn=3758ef809f9a456d7ed83a2954487f5b&chksm=eb6c21ebdc1ba8fd8888ccf93043b0abc5107b0a96671419bbc8b3795260feded5292248338e&scene=142#wechat_redirect" target="_blank">安全需求</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484328&idx=1&sn=bba34270246d8e01eb1f54e4a0605d00&chksm=eb6c21d0dc1ba8c67dc82bba63cd9207e91c47afafc3099a478b638ffb7ea3a913b0b7be27ec&scene=142#wechat_redirect" target="_blank">安全设计</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484341&idx=1&sn=f08a2bcbacb518e93d24d01e1386090b&chksm=eb6c21cddc1ba8db160ac24824ffcdaf46e383ea3c482191961c7176239e6ccdd9833069a295&scene=142#wechat_redirect" target="_blank">安全开发</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484366&idx=1&sn=72cc4c6bcc5dde0b234cf5a2693d3970&chksm=eb6c21b6dc1ba8a0fa8640a1bc3a977cab84c4f50835b8b448ee9e3c0b1dc6d85ba256b46ce2&scene=142#wechat_redirect" target="_blank">安全测试</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484379&idx=1&sn=dda07183bd693fe2ed53990099e79a22&chksm=eb6c21a3dc1ba8b5ef572e80a8a0a9bc22447a77b2d6b88094f2b91a87e09a179a84db05da19&scene=142#wechat_redirect" target="_blank">安全审核</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247484395&idx=1&sn=06b35e000af7a55b2a9580bb192316c1&chksm=eb6c2193dc1ba885630fdecfd278b6c8bf3e90027533e1c3748d90b3d5c0cbbf5d6be2d9c0fa&scene=142#wechat_redirect" target="_blank">安全响应</a>
53人阅读
2024-07-13
本篇文章10549个词,预计阅读时长30分钟。 假设本文的读者已经有相关SpringBoot、字节码开发经验。 分析原理 市面上目前的主流白盒检测引擎估计就分为两者(之前是由正则和AST语法分析占据的),一种是基于字节码的堆栈模拟检测,另一种就是通过CPG分析技术来检测产出漏洞。而我们介绍的Spri
46人阅读
2024-07-19
该库被实现为一个QL模块,是一个后缀为.qll的文件,即java.qll,该模块导入了所有核心Java库模块,因此,我们可以在查询的开始位置通过以下方式来引入完整的java库: import java 库类总结标准Java库中重要的类可以分为5种: 表示编程元素的类(例如类和方法) 表示AST节点的
54人阅读
2024-07-19
深信服
72
0
深信服数字应用安全平台面向各行业数字化转型过程中的各类数字化应用,提供全生命周期的内建安全保护,覆盖应用的开发过程、承载环境及运行过程。平台提供一站式应用安全检测工具链AST,帮助用户快速洞察应用安全风险,平台通过aSecPaaS提供丰富的安全“生产资料”,通过安全左移的方式,实现在数字化应用开发构建阶段的默认安全加固,进而实现“上线即安全”。通过以下关键创新帮助用户真正实现安全与应用的同步规划、同步构建,实现应用内建安全,从源头上提高数字化应用的整体安全水平。
58人阅读
2024-07-13
评估顺序图EOG虽然不会直接运用的到checker分析中,但是其在CPG中也是非常重要的存在,其为其他Pass提供了数据支撑
136人阅读
2024-07-13
108人阅读
2020-08-05
从人们开始探索代码扫描这件事情开始,市面上就在不断地诞生着各种各样的工具,经过了几年的演变以及发展,对于白盒代码扫描这件事情来说,大家的观念也在逐渐趋同。
72人阅读
2024-07-13
Rapid7应用程序安全测试入选2021Gartner——VISIONARIES象限
61人阅读
2024-07-13
长亭科技
822
1
百川 WebShell 检测工具是长亭科技提供的在线 webshell 检测检测工具, 应用与长亭主机安全,容器安全,流量监测等产品. 一键提交检测
如果想要更深入的了解Joern,CPG和图数据库是绕不开的一个话题。CPG作为一种代码属性图,就必须寻找一种图数据库作为载体
135人阅读
2024-07-13
84人阅读
2024-07-13
76人阅读
2024-07-13
戳上面的蓝字关注我吧!本篇文章10549个词,预计阅读时长30分钟。假设本文的读者已经有相关SpringBo
58人阅读
2024-07-13
灵脉SAST 3.4版本携全新多模引擎、AI智能修复与数字供应链安全情报,AI驱动,智能升级。
69人阅读
2024-07-13