代码审计工具分享
吉祥学安全知识星球🔗除了包含技术干货:Java代码审计、web安全、应急响应等,还包含了安全中常见的售前护网案例、售前方案、ppt等,同时也有面向学生的网络安全面试、护网面试等。
这两年一直都在提“安全左移”(Security Shift Left)的问题,提到安全左移那自然离不开代码审计这一关。
代码审计(Code Audit)是安全左移中的一个重要环节。代码审计是指对源代码进行系统的审查,以发现潜在的安全漏洞的地方。代码审计可以在软件开发过程中的多个阶段进行,包括:
-
编码阶段:开发者在编写代码时,通过代码审计来确保他们的代码没有明显的安全漏洞。
-
代码审查阶段:在代码提交到代码库之前,通过同行评审(Peer Review)的方式来审计代码,这有助于发现潜在的安全问题。
-
测试阶段:在软件测试阶段,可以通过自动化工具或手动审查的方式对代码进行审计,以确保在部署之前发现并修复安全漏洞。
而代码审计其实它又是一种静态审计过程,根据一些可能引入危险的关键词如:exec、eval、system等,这些函数可能导致代码执行或命令注入漏洞。
对于特定语言,还会关注与数据库交互的函数(如SQL注入相关的SQL_query、execute等)和与Web交互的函数(如XSS相关的innerHTML、document.write等)。
前几天写过GPT绕过验证码的文章GPT-4o的视觉识别能力,将绕过所有登陆的图形验证码,今天就给大家介绍一款含有gpt的代码审计工具
项目地址:https://github.com/yuag/Code-audit
GPT代码审计模块记得用梯子
关键字搜索
危险函数搜索
自动化代码审计
漏洞发现:
