代码安全审计工具大全

填个坑  审计工具大全

代码安全审计工具大全_第1张图片

 

 

以下链接为当前比较热门的代码审计推荐文章

http://www.freebuf.com/sectool/101256.html

https://www.owasp.org/index.php

https://www.dwheeler.com/essays/static-analysis-tools.htm

l https://github.com/mre/awesome-static-analysis

https://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis

如何开发安全程序的教程 https://www.dwheeler.com/secure-programs/3.71/Secure-Programs-HOWTO/index.html

 

0×01 PHP代码审计

1、RIPS开源 一款开源的,具有较强漏洞挖掘能力的自动化代码审计工具。它使用PHP语言编写的,用于静态审计PHP代码的安全性。代码安全审计RIPS的主要功能特点如下: 1)能够检测XSS、SQL注入、文件泄露、本地/远程文件包含、远程命令执行以及更多种类型的漏洞。 2)有5种级别选项用于显示以及辅助调试扫描结果。 3)标记存在漏洞的代码行。 4)对变量高亮显示。 5)在用户定义函数上悬停光标可以显示函数调用。 6)在函数定义和调用之间灵活跳转。 7)详细列出所有用户定义函数(包括定义和调用)、所有程序入口点(用户输入)和所有扫描过文件(包括include的文件)。 8)以可视化的图表展示源代码文件、包含文件、函数及其调用。 9)仅用几个鼠标点击就可以使用CURL创建针对检测到漏洞的EXP实例。 10)详细列出每个漏洞的描述、举例、PoC、补丁和安全函数。 11)7种不同的语法高亮显示模式。 12)使用自顶向下或者自底向上的方式追溯显示扫描结果。 13)一个支持PHP的本地服务器和浏览器即可满足使用需求。 14) 正则搜索功能。 当前有商业版,但开源已经够用了,最新版本的RIPS是0.55,

 

 

下载链接如下:https://sourceforge.net/projects/rips-scanner/,

 

 

 

0×02 Java代码审计

 

代码质量:findbugs 代码安全:findsecuritybugs FindSecurityBugs是Java静态分析工具FindBugs的插件,通过一系列的规则发现代码中的Java安全漏洞。这个工具可以集成在很多IDE中,包括Eclipse或IntelliJ。目前这个项目已经在安全社区中获得了不少关注度。该工具的最新版本还增加了专门针对Android端产品的漏洞类型。因此,它也是一个不错的移动端安全扫描工具。如果你想更详细的了解它,可以去访问 下载地址:http://findbugs.sourceforge.net/downloads.html https://www.jianshu.com/p/c43940c4e025

https://find-sec-bugs.github.io/

https://wiki.jenkins.io/display/JENKINS/FindBugs Plugin  

 

0×03 其他语言代码审计

1 .net https://security-code-scan.github.io/

 

2.C++:

   代码质量:cppcheck

代码安全: flawfinder https://sourceforge.net/projects/flawfinder/

http://www.doc88.com/p-669125880049.html

https://sourceforge.net/p/flawfinder/feature-requests/4/ xml格式支持  

 

3.JS:

代码质量:eslint

代码安全:https://github.com/ajinabraham/NodeJsScan

https://blog.csdn.net/yalishandalee/article/details/61916454

https://github.com/nodesecurity/eslint-plugin-security#rules

 

 

4.Go:

代码质量:golint、go tool vet

代码安全:gas https://github.com/GoASTScanner/gas  

 

 

5.Python:

代码质量:pylint

代码安全:bandit,py-find-injection,pyt https://wiki.openstack.org/wiki/Security/Projects/Bandit

https://github.com/openstack/bandit

https://github.com/uber/py-find-injection

https://github.com/bit4woo/python_sec https://github.com/python-security/pyt  

 

6.多种语言的安全代码检查工具:sonar  https://docs.sonarqube.org/display/SONAR

https://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html#Vulnerability_Detection

https://github.com/SonarSource/sonarqub  

 

7.ruby https://github.com/thesp0nge/dawnscanner

https://github.com/presidentbeef/brakeman  

 

 

0x04 商业代码审计工具

其实网上都说烂了,静态分析的工具RISP,VCG,Fortify SCA等,动态工具有360的sky wolf,鸟哥的taint。 静态分析还有几个: GitHub - wufeifei/cobra: Cobra - Cobra is a static... 这是一个简单的通过正则查找漏洞的工具 https://grepbugs.com/ taint只支持php5.4.*及以前的版本,最新的php是不支持的。

你可能感兴趣的:(代码安全审计工具大全)