官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
关于CodeCat
CodeCat是一款功能强大的静态代码分析工具,该工具现已开源,在CodeCat的帮助下,广大研究人员可以轻松地使用静态代码分析技术来查找代码中的安全问题,或跟踪用户的输入数据。
CodeCat主要基于正则表达式规则实现其功能,当前版本CodeCat所实现的正则表达式规则适用于C、C++、GO、Python、JavaScript、SWIFT、PHP、Ruby、ASP、Kotlin、DART和Java。除此之外,广大研究人员也可以根据自己需要自行创建正则规则。
工具运行机制
工具依赖
该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。
工具安装
接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/CoolerVoid/codecat.git
接下来,在命令行终端中切换到该项目下,然后使用下列命令安装该工具的后端和前端库,并安装该工具所需的依赖组件:
$ apt install python3-pip $ cd Frontend $ sudo python3 -m pip install -r requirements.txt $ cd .. $ cd Backend $ sudo python3 -m pip install -r requirements.txt
工具使用
安装完成之后,我们就可以使用下列命令运行该工具的后端和前端了:
$ cd Codecat $ cd Frontend; python3 wsgi.py & $ cd .. $ cd Backend; python3 wsgi.py &
现在,我们需要保存自己的用户名和密码,然后完成登录即可:
$ curl -i -X POST -H "Content-Type: application/json" -d '{"email":"[email protected]","username":"admin","password":"rubrik123"}' https://127.0.0.1:50001/api/users -k
/API/users节点只会在工具第一次安装部署的时候运行一次,如果你试图再次向该节点发送请求来插入新的用户的话,而且节点返回404错误的话,说明就是安全的。
接下来, 访问“https://127.0.0.1:50093/front/auth/”,我们就可以使用用户名“admin”和密码“rubrik123”来进入system-auth系统认证模块了。
TLS配置
广大研究人员可以在“wsgi.py”文件中配置并加载TLS证书。
工具运行截图
工具菜单
插入规则
代码审计
缓存搜索
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可证协议。
工具使用视频
视频地址:https://www.you*tube.com/watch?v=Bmfhsr3BvyA
项目地址
CodeCat:【GitHub传送门】
参考资料
https://github.com/CoolerVoid/codecat/blob/master/doc/raptor.pdf