发现安全漏洞不扫描 groovy 文件

关键词：

【中文标题】发现安全漏洞不扫描 groovy 文件【英文标题】：find security bugs does not scan groovy files 【发布时间】：2016-01-11 23:59:43 【问题描述】：

在我们的项目中，我们同时使用了 Groovy 和 Java 类。我们正在使用 find-sec-bugs 插件 1.4.3 和 FindBugs 3.0.1 来扫描源代码。

插件不会报告来自 Groovy 类的安全漏洞。 Java 类被正确扫描。 project page 清楚地表明该插件适用于 Groovy。

为了这个测试，我复制了以下vulnerable code，编译了源代码，然后对其进行了扫描。

String generateSecretToken() 
    Random r = new Random();
    return Long.toHexString(r.nextLong());

我是否缺少一些配置？

【问题讨论】：

你使用 gradle 还是 maven？这两个工具都有用于查找错误的插件，并且似乎运行正常。 谢谢蛋白石。我正在使用 FindBugs UI。它可以正确扫描 groovy 和 java 源代码。问题在于 find-sec-bugs 插件。这个插件可以正确扫描java代码。但是，它忽略了 groovy 代码。 @nr673 请在此处开票：github.com/h3xstream/find-sec-bugs/issues（复制粘贴您的问题） @h3xStream 抱歉延迟回复。按照您的建议报告了问题。 【参考方案1】：

为了进行正确的分析，您需要激活静态编译。否则，分析器将看不到任何方法调用。

build.gradle

compileGroovy 
    groovyOptions.configurationScript = file("gradle/config.groovy")

gradle/config.groovy

withConfig(configuration) 
     ast(groovy.transform.CompileStatic)

这里有完整的食谱： https://github.com/find-sec-bugs/find-sec-bugs-demos/tree/master/groovy-simple

【讨论】：

如何使用nikto漏洞扫描工具检测网站安全

...家——工具箱——漏洞修复可以自动修复漏洞：第一时间发现并修复系统存在的高危漏洞，在不打扰您的情况下自动为系统打上漏洞补丁，轻轻松松将病毒木马拒之门外。自动修复漏洞电脑管家可以在发现高危漏洞（仅包括高危... 查看详情

nginx漏洞扫描及修复方案(代码片段)

...结果漏洞扫描OSS2.0物联网创新业务系统进行web类安全扫描发现1类安全问题，本次发现“缓慢的HTTP拒绝服务攻击”漏洞问题， 查看详情

appscan发现的sql漏洞怎么利用

...仅提供信息类型的检查，这种检查可以查找一些并不存在安全漏洞的项目，不过Web管理员或安全工程师们并不知道。2.Parosproxy　　这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应... 查看详情

网络安全-端口扫描神器nmap使用详解与参数指导

目录简介命令参数目标指定文件读入随机排除主机发现扫描技术端口指定和扫描顺序服务/版本发现脚本扫描操作系统版本时间与性能防火墙/入侵防御绕过输出杂项参数指导参考简介Nmap是一个免费的开源用于网络发现和安全审计... 查看详情

渗透测试应该怎么做呢？

...认通信是否正常端口信息查询：NMap扫描，确认开放端口发现：一共开放两个端口，80为web访问端口，3389为windows远程登陆端口，嘿嘿嘿，试一下发现：是WindowsServer2003系统，OK，到此为止。2、指纹识别其实就是网站的信息。比如... 查看详情

信息收集之目录扫描

...序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件（可以使web根目录以外的文件），甚至执行系统命令目录遍历漏洞原理程序在... 查看详情

web漏洞扫描工具（批量破壳反序列化cms）？

...b漏洞扫描工具一，Nikto，一款开源软件，不仅可用于扫描发现网页文件漏洞，还支持检查网页服务器和CGI的安全问题。它支持指定特定类型漏洞的扫描、绕过IDC检测等配置。该工具已集成于KaliLinux系统。nikto可以扫描软件版本信... 查看详情

groovy安全导航（safe-navigation）操作符（?.）

...心且能帮助简化开发工作的小特性，继续阅读本书，你会发现这些特性遍布各个章节。安全导航（safe-navigation）操作符（?.）就是其中之一。我们经常需要检查引用是否为空值（null）。这种操作单调乏味，如下面例子所示，使用... 查看详情

漏洞扫描

一般网络都是属于一种被动防御不能及时发现安全漏洞，客观评估网络风险等级，防火墙和网络监视系统是被动的防御手段安全扫描就是一种主动的防范措施，能有效避免黑客攻击行为，做到防患于未然想必大家也会下载网络扫... 查看详情

安全测试&漏洞扫描

　安全测试在于发现漏洞以及修复漏洞，常见漏洞在于系统、组件、代码，因此安全测试也分为以下三类：1.端口扫描：对系统、端口进行扫描，如常用tcp、udp端口，如80、5296、3306、8088....，举例软件rapid7，市面上也有其他厂家... 查看详情

sql注入漏洞扫描工具都有哪些

...用漏洞扫描器，能够对整个网站进行漏洞扫描，并能够对发现的漏洞（SQL注入，跨站脚本）进行验证；它也可以单独进行漏洞验证。网站爬虫（目录及文件）；漏洞扫描（SQL注入，跨站脚本）；漏洞验证（SQL注入，跨站脚本）；... 查看详情

metasploit漏洞扫描(代码片段)

Metasploit漏洞扫描漏洞扫描是自动在目标中寻找和发现安全弱点。漏洞扫描器会在网络上和对方产生大量的流量，会暴露自己的行为过程，如此就不建议你使用漏扫了。基本的漏洞扫描我们首先使用netcat来获取目标主机的旗帜（... 查看详情

靶机渗透实战-acid(代码片段)

...新,后边会积极的更新。文章目录文章目录信息收集漏洞发现利用提权总结信息收集信息收集是必不可少的.首先用自己的kali当攻击机,下载acid靶机靶机下载地址首先进行靶机发现nmap-sn192.168.240.1。1/24进行主机发现不尽兴端口扫描&... 查看详情

交换器漏扫描怎么办

...描工具，如Nessus，对交换机进行漏洞扫描，以发现潜在的安全漏洞。4、最后，使用网络嗅探工具，如Wireshark，对交换机进行网络嗅探，以发现网络中的异常行为。参考技术A交换器漏扫描建议系统配置规则库应能不断地被扩充和... 查看详情

漏洞检测的几种方法

...用被动的、非破坏性的办法检查应用软件包的设置，发现安全漏洞。　　2.基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常，它涉及到系统的内核、文件的属性、操作系统的补丁等。这种技术还包括... 查看详情

安恒信息漏洞扫描工具怎么用

...文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为网络安全扫描。 参考技术B　　1.打开kali-linux系统终端，得到XP系统ip地址后输入常见漏... 查看详情

记录一次勒索病毒漏洞扫描发现过程

2017年5月，勒索病毒爆发，主要是通过windows主机相应的漏洞进行感染记录当时使用防火墙日志软件搜寻存在漏洞和疑似中毒的过程公网地址已经作废某单位业务系统漏洞分析报告中青在线5月13日电（中国青年报·中青在线记者潘... 查看详情

2019-2020-220175218陈敬勇《网络对抗技术》exp5信息搜集与漏洞扫描(代码片段)

...用（2）DNSIP注册信息的查询（3）基本的扫描技术：主机发现、端口扫描、OS及服务版本探测、具体服务的查点（4）漏洞扫描：会扫，会看报告，会查漏洞说明，会修补漏洞三、实践原理信息搜集：渗透测试中首先要做的重要事... 查看详情