inspectorz
Java 代码审计 idea 插件
介绍
- inspectorz 为 idea 静态代码扫描插件,可一键搜索出所有 sink 点
- 在原有基础上,修改了一些代码逻辑,sink 点更加全面
- 补充添加了多个规则,例如补充了文件读取、文件写入、反序列化等风险点的检测规则,添加了权限绕过、rpc 调用等风险点的检测规则
- 原作者 KimJun
- 原版插件链接
- https://github.com/KimJun1010/inspector
安装
- 依次打开
- 设置 -> 插件 -> 本地安装
- 选择下载的 jar 文件即可
使用
- 反编译后,右键反编译后的文件夹,进行一键静态扫描
- 可以把除了插件外的选项都取消勾选
- 配置好后,针对反编译后的文件夹,进行扫描即可
- 也可根据在人工审计的时候,高亮显示风险点,协助审计
- 例如依据 web.xml 中的配置,跟进后可看到高亮显示的风险点
优化点
- 在原项目基础上,添加的一些规则
- 例如
- 文件操作类
- 权限绕过类
- rpc 调用类
github下载地址:
© 版权声明
文章版权归作者所有,转载请标明出处。
THE END
暂无评论内容