眼镜蛇-W-眼镜蛇白盒品白源代码审计工具 -白帽子版
写在最前,Cobra-W 就像手中的一把剑,这把剑好不好用是 Cobra-W 的事,如何使用是你的事,希望能有更多的人参与到 Cobra-W 的变化中来 ...

请使用 python3.6 运行该工具,已停止维护 python2.7 环境

眼镜蛇

GitHub (预)发布 执照 建立状态

介绍

Cobra 是一种源代码安全审计工具,支持检测多种开发语言源代码中的大部分显着的安全问题和漏洞。https ://github.com/wufeifei/cobra

Cobra-W 是从 Cobra2.0 发展而来的分支,将工具重心从重新的发现威胁转变为提高发现突破的准确率以及精度。

特色

与其他代码审核索引:

静态分析,环境依赖小。
语义分析,对防御有效性判断程度更深。
多种语言支持。
开源 python 实现,更容易二次开发。

与眼镜蛇

深度重构 AST,大幅度减少扩展误报率。
提供更简便的从代码尺度定制审计思路的规则书写方式,更容易白帽子使用,便于扩展。

灵活的 api 重构,支持 windows,linux 等多平台。
多重语义解析,函数回溯,秘密机制,以及更多机制解释语义分析。
新增 javascript 语义分析,用于扫描包含 js 相关代码。

去做

改写 grep 以及 find,提供更好的有意义的支持
消除不符合白帽子审计习惯的部分模式以及相关冗余代码
制定规则规则方式,改变更容易针对定制的方式(有待进一步优化)
重建 AST
递归回溯变量
递归回溯自定义函数
多级函数调用
自定义类调用
未知语法待解析
添加疑似分辨率分级,部分回溯存在问题但是不能回溯到可控变量的裂缝,通过疑似突破的方式展示。
添加关于 javascript 的静态分析
完成针对有关于 javascript 的多种特殊问题
适应关于 html 中内联 js 的扫描
添加区分前端 js 与 nodejs 功能,并为 node_js 添加专门的扫描
未知语法待解析
完成关于 java 的静态分析

更新日志

changelog.md

自述文件

cobra-w
├─cobra
│ ├─core_engine
│ └─internal_defines
├─docs
├─logs
├─result
├─rules
│ └─php
├─tests
├─ast
│ └─test
├─examples
└─vulnerabilities 眼镜蛇:核心代码目录
core_engine 核心语义分析代码
internal_defines 部分内置变量
docs:cobra-W 文档目录
日志:扫描日志储存位置
结果:扫描结果储存位置(默认为 .csv)

规则目录

测试:测试代码目录安装

首先需要安装依赖

pip install -r requirements.txt
然后扫描测试样例查看结果

python cobra.py -t ./tests/vulnerabilities/

开发文档
开发人员

贡献者
感谢如下贡献者对本工具发展过程中的贡献:
Knownsec 404 团队 LoRexxar
北邮天枢 Sissel
文章来源:https://github.com/LoRexxar/Cobra-W
猜你喜欢这是赤裸裸打网络安全从业者的脸!昨晚停网后,我写了一段代码破解了隔壁小姐姐的 wifi 密码 ...有黑客正在通过骨干网络发动中间人攻击 国内多个省市区均受攻击影响
女黑客盗取源代码预卖 1 亿美刀
手机坏了,微信的聊天记录能恢复吗?
最近收到 U 盘礼品,请注意!怎样从零学起成为一名黑客?
安装输入法后用户主页被篡改,男子“种木马”牟利被判刑
数以万计的私人 Zoom 录像被无意上传到视频云 供任何人在线观看
眼镜蛇-W-眼镜蛇白盒品白源代码审计工具 -白帽子版

眼镜蛇-W-眼镜蛇白盒品白源代码审计工具 -白帽子版你点的每个赞,我都认真当成了喜欢

来源链接:mp.weixin.qq.com