CodeCat:一款功能强大的静态代码分析工具
2022-3-18 22:9:48 Author: www.freebuf.com(查看原文) 阅读量:27 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关于CodeCat

CodeCat是一款功能强大的静态代码分析工具,该工具现已开源,在CodeCat的帮助下,广大研究人员可以轻松地使用静态代码分析技术来查找代码中的安全问题,或跟踪用户的输入数据。

CodeCat主要基于正则表达式规则实现其功能,当前版本CodeCat所实现的正则表达式规则适用于C、C++、GO、Python、JavaScript、SWIFT、PHP、Ruby、ASP、Kotlin、DART和Java。除此之外,广大研究人员也可以根据自己需要自行创建正则规则。

工具运行机制

工具依赖

该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。

工具安装

接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CoolerVoid/codecat.git

接下来,在命令行终端中切换到该项目下,然后使用下列命令安装该工具的后端和前端库,并安装该工具所需的依赖组件:

$ apt install python3-pip

$ cd Frontend

$ sudo python3 -m pip install -r requirements.txt

$ cd ..

$ cd Backend

$ sudo python3 -m pip install -r requirements.txt

工具使用

安装完成之后,我们就可以使用下列命令运行该工具的后端和前端了:

$ cd Codecat

$ cd Frontend; python3 wsgi.py &

$ cd ..

$ cd Backend; python3 wsgi.py &

现在,我们需要保存自己的用户名和密码,然后完成登录即可:

$ curl -i -X POST -H "Content-Type: application/json" -d '{"email":"[email protected]","username":"admin","password":"rubrik123"}' https://127.0.0.1:50001/api/users -k

/API/users节点只会在工具第一次安装部署的时候运行一次,如果你试图再次向该节点发送请求来插入新的用户的话,而且节点返回404错误的话,说明就是安全的。

接下来, 访问“https://127.0.0.1:50093/front/auth/”,我们就可以使用用户名“admin”和密码“rubrik123”来进入system-auth系统认证模块了。

TLS配置

广大研究人员可以在“wsgi.py”文件中配置并加载TLS证书。

工具运行截图

工具菜单

插入规则

代码审计

缓存搜索

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

工具使用视频

视频地址:https://www.you*tube.com/watch?v=Bmfhsr3BvyA

项目地址

CodeCat:GitHub传送门

参考资料

https://github.com/CoolerVoid/codecat/blob/master/doc/raptor.pdf


文章来源: https://www.freebuf.com/articles/security-management/325428.html
如有侵权请联系:admin#unsafe.sh