freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

DakshSCRA:一款功能强大的源代码安全审计工具
Alpha_h4ck 2023-11-17 23:48:17 207136


关于DakshSCRA

DakshSCRA是一款功能强大的源代码安全审计工具,该工具旨在提升源代码安全审计的效率,并为广大代码安全审计人员提供一种结构良好且组织有序的代码审计方法。

DakshSCRA会对目标代码进行仔细审查,然后将潜在的安全问题进行标记,并敦促分析人员对已标记的潜在安全问题进行调查和确认。如果将所有的潜在问题都标记为Bug的话,会增加误报率,同时也会消耗掉审计人员大量宝贵的时间和资源。DakshSCRA不会对所有潜在的问题都标记为Bug,同时也减少了审计人员在处理误报方面要花费的时间,从而促进更高效的代码审查过程。

功能特性

1、识别源代码中审计人员感兴趣的部分:鼓励重点调查和确认,而不是不加区别地将所有内容标记为Bug;

2、确定文件路径中感兴趣的部分:识别文件路径中的模式,以确定要查看的相关部分;

3、软件级别的数据侦查以识别所使用的技术:识别项目技术,使代码审查人员能够按照适当的规则进行精确的扫描;

4、代码审查的自动化科学工作量估算:提供一种可测量的方法来估算代码审查过程所需的工作量;

5、使用特定于平台的规则以查找感兴趣的部分;

6、支持为任何新语言或现有语言扩展或添加新规则;

7、支持生成文本格式、HTML和PDF格式的报告以供审计人员查看和检查;

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/coffeeandsecurity/DakshSCRA.git

然后安装virtualenv:

$ pip install virtualenv

使用virtualenv搭建一个虚拟环境:

$ virtualenv -p python3 {name-of-virtual-env}

例如: virtualenv -p python3 venv

激活刚才创建的虚拟环境:

$ source {name-of-virtual-env}/bin/activate

例如: source venv/bin/activate

运行了激活命令之后,你将会看到终端窗口提示符变为如下所示:

(venv) $

配置完成后,在虚拟环境中运行下列命令安装该工具所需的其他依赖组件:

pip install -r requirements.txt

工具使用

下列命令可以直接查看工具的帮助选项:

pip install -r requirements.txt
usage: dakshscra.py [-h] [-r RULE_FILE] [-f FILE_TYPES] [-v] [-t TARGET_DIR] [-l {R,RF}] [-recon] [-estimate]

 

options:

-h, --help              查看工具帮助信息和退出

-r RULE_FILE          指定平台专用的规则名称

-f FILE_TYPES         指定要扫描的文件类型

-v                     指定Verbose模式等级 {'-v', '-vv', '-vvv'}

-t TARGET_DIR         指定目标目录路径

-l {R,RF}, --list {R,RF}    枚举规则[R]和文件类型[RF]

-recon                 检测目标代码使用的平台、框架和编程语言

-estimate              评估代码审计工作量

工具使用样例

'-f'是一个可选项,如果不指定,工具默认会使用选择的规则扫描对应的文件类型:

dakshsca.py -r php -t /source_dir_path

可以使用 '-f'选项覆盖默认设置,并制定其他的文件类型:

dakshsca.py -r php -f dotnet -t /path_to_source_dir

dakshsca.py -r php -f custom -t /path_to_source_dir

'-recon'和'-r'选项一起使用,则执行数据侦查和基于规则的扫描:

dakshsca.py  -recon -r php -t /path_to_source_dir

如果只使用了'-recon'但没有'-r'选项的话,则只执行数据侦查:

dakshsca.py  -recon -t /path_to_source_dir

'-v'代表开启Verbose模式,该选项是默认选项,'-vvv'将执行所有的规则检测及结果:

dakshsca.py -r php -vv -t /path_to_source_dir

支持的RULE_FILE:

dotnet、java、php、python、javascript

支持的FILE_TYPES:

dotnet、java、php、python、javascript、custom、allfiles

报告生成

HTML报告路径:

DakshSCRA/reports/html/report.html

PDF报告路径:

DakshSCRA/reports/html/report.pdf

数据侦查报告路径:

DakshSCRA/reports/text/recon.txt

识别模式文本报告:

DakshSCRA/reports/text/areas_of_interest.txt

项目文件识别报告:

DakshSCRA/reports/text/filepaths_aoi.txt

DakshSCRA/runtime/filepaths.txt

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

DakshSCRA:【GitHub传送门

# 代码审计 # 安全审计 # 代码安全 # 代码检测
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 Alpha_h4ck 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
Alpha_h4ck LV.10
好好学习,天天向上
  • 2359 文章数
  • 1016 关注者
Tetragon:一款基于eBPF的运行时环境安全监控工具
2025-01-21
DroneXtract:一款针对无人机的网络安全数字取证工具
2025-01-21
CNAPPgoat:一款针对云环境的安全实践靶场
2025-01-21
文章目录