摘要:CodeVulnScan 是一款基于正则表达式的代码安全审计工具,工具支持 DotNet、Java、PHP、Python 等主流开发语言;能够自动扫描配置文件中的密码、密钥、令牌等敏感信息,修改各语言的 rule.JSON 文件,定制专属规则库,支持指定文件后
0x01 工具简介
CodeVulnScan 是一款基于正则表达式的代码安全审计工具,工具支持 DotNet、Java、PHP、Python 等主流开发语言;能够自动扫描配置文件中的密码、密钥、令牌等敏感信息,修改各语言的 rule.JSON 文件,定制专属规则库,支持指定文件后缀、排除目录、设置最大扫描深度;可配置工作协程数量,充分利用多核性能,扫描结果包含文件路径、行号、匹配内容、规则名称及描述,结果高亮展示,便于快速定位问题。结果处理:支持将扫描结果导出为CSV文件,便于后续处理和团队协作。
0x02 工具使用
# .NET./codevulnscan -T net -d /path/to/project# Java./codevulnscan -T java -d /path/to/project -nd /path/to/project/vendor# PHP./codevulnscan -T php -d /path/to/project -v# Python./codevulnscan -T python -d /path/to/project -w8# 信息./codevulnscan -T leak -d /path/to/configs -e yml,json,xml,properties# 导出结果./codevulnscan -T java -d /path/to/project -o results.csvCodeVulnScan 支持自定义规则,只需创建或修改对应语言的规则文件即可。规则文件使用 JSON 格式,位于 rules 目录下。
规则字段说明:
字段说明FileType文件类型,如 java、php、cs 等Readme规则说明,描述潜在风险0x03 工具获取
来源:Kali与编程一点号
免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!
