任务窗口
- 创建任务可以选择扫描本地代码或远程git仓库
- 扫描本地代码
- 如果选择扫描本地代码,直接选择代码所在的文件夹即可(路径中不要有空格)
- 反编译功能只能在扫描本地代码时可用,用户需根据需要选择需要反编译的jar或class文件
- 开启反编译常用于无源代码,或源代码不完整但是有jar包的情况,反编译后的代码会放在所选代码根目录下的一个独立文件夹,文件夹以_chanzi_decompile_dir_结尾
- 开启时不建议把所有依赖的jar文件全部勾选,这样会导致反编译的项目代码太过庞大,扫描时间太长或内存耗尽
- 扫描git仓库
- 如果选择扫描远程git仓库,可以填写https或ssh格式的git地址,并且选择认证方式(ssh、password、token、无认证四种方式可选)
- ssh认证方式,铲子会自动到用户的.ssh目录获取认证密钥信息,进而完成代码的clone
- 无认证,不需要填写任何认证信息,通常用于public的git仓库,即仓库时公开的,无需认证即可clone
- password认证,需要填写 用户名:密码
- token认证,需要填写 用户名:token
- 如果有多个任务时,用于打开不同的任务,查看对应任务的漏洞信息
- 如果同时有多个正在扫描或排队的任务,打开任务操作不会影响任务的正常运行
- 删除任务用于删除任务相关的数据,包括任务基本信息、漏洞信息、代码索引、代码图数据等
- 会删除所有任务的数据,请谨慎操作;这些数据默认保存在用户home目录的 ChanziTaskData 目录
- 用于查看任务基本信息,任务信息以json格式在编辑器显示
- 格式如下: 包括 任务id 任务名称 代码路径 git地址及分支(仅远程git任务可见) 图数据路径 代码索引路径 任务状态 是否打开 文件数量 java文件数量 任务创建时间 完成时间 高中低危漏洞数量 总代码行数(仅包括java/jsp/yml等项目相关文件,不包括log text等) 已处理的文件数量 任务显示的状态(包括已完成 运行中 排队中 异常中断)
{
"task_id" : 1,
"taskName" : "javaweb-vuln-master",
"codePath" : "/Users/a/Downloads/javaweb-vuln-master",
"gitUrl" : null,
"branch" : null,
"graphDbPath" : "/Users/a/ChanziTaskData/javaweb-vuln-master_neo4j_20241002095421",
"luceneIndexPath" : "/Users/a/ChanziTaskData/javaweb-vuln-master_lucene_20241002095421",
"status" : "complete",
"isOpen" : true,
"fileCount" : 108,
"javaFileCount" : 47,
"createTime" : "2024-10-02 09:54:21.135",
"finishTime" : "2024-10-02 09:55:09.406",
"highVulnCount" : 23,
"mediumVulnCount" : 136,
"lowVulnCount" : 0,
"codeLineCount" : 20455,
"processedFileCount" : 67,
"showStatus" : "已完成"
}
- 导出任务的扫描结果,Word格式,选中任务后右键菜单操作,导出通常需要几秒,异步进行,不阻塞主界面,导出成功后会自动打开报告所在文件夹
- 用于导出任务的漏洞报告,报告中仅包含标记为 待处理、漏洞的漏洞信息,不包含标记为重复、误报的漏洞信息
- 漏洞标记需要用户手动完成,在结果表进行标记,如果未操作则默认都是待处理状态
- 新建本地任务并开启反编译的效果
- 新建git任务
