Skip to content
铲子科技 edited this page Nov 12, 2024 · 31 revisions

“铲子”SAST 工具介绍

一、产品定位

“铲子”是一款极具实用性的 JAVA SAST(静态应用程序安全测试)工具。其目标是为安全工程师们提供一款“简单、好用、价格厚道”的代码安全扫描产品。

官网:www.chanzikeji.com

二、功能介绍

(一)支持语言

  • Java,支持 Servlet&filter、spring、dubbo、thirft、jfinal、netty、mybatis、dropwizard、jdk 内置 httpserver、jsp,xml、yaml、properties 等技术栈。

(二)采用技术

  • 运用污点分析技术。“铲子”能够将 java、xml(mybatis、dubbo)等统一构建数据流图,无需编译即可进行精准的污点分析。漏洞结果可在数据流窗口轻松阅读。铲子采用了更加轻量的污点分析,这样即便扫描大型的java项目也能更高效的完成。

(三)支持漏洞

  • 内置了 sql 注入、命令注入、文件上传、ssrf 等常见的 cwe 漏洞规则,同时还包括 log4j、shiro、xstream、actuator 等组件类漏洞规则。

(四)导出报告

  • 用户可以对漏洞进行标记,并导出简洁明了的漏洞报告。报告内容包含漏洞类型、危害等级、所在位置以及修复建议,能够助力开发人员快速定位和解决问题。

(五)反编译

  • 支持反编译扫描。在新建任务时,可选择需要反编译的 jar 或 class 文件;在审计过程中,也能对单个 class 或 jar 文件进行反编译,以便阅读代码。

(六)编辑器

  • 多功能代码编辑器。为了让用户更方便地阅读代码,减少在 sast 工具及 ide 之间的频繁切换,编辑器内置了类型、变量、方法的跳转及使用查找功能,还能快速搜索全仓库及文件的代码大纲。

(七)自定义规则

  • 自定义规则采用 cypher 查询语言,用户学习门槛低。对于熟悉图数据库的同学来说,可以快速上手。

:扫描过程不会上传任何形式的代码数据到服务端,请放心使用。

三、工具的安装使用

  1. 下载安装:访问“铲子”官方网站,根据您的操作系统选择合适的安装包进行下载并安装。
  2. 配置环境:一键安装,无需额外配置。
  3. 开始扫描:启动程序后,点击新建任务即可开启扫描之旅。
  4. 查看结果:在漏洞窗口查看扫描结果,可按需进行漏洞排序、筛选、标记等操作。
  5. 查看报告:在“任务”栏右键即可导出报告。

四、需求、bug、讨论

  1. 需求/bug:请在该仓库的 issues 板块提交。
  2. 技术交流:请在该仓库的 dissussions 板块参与或发起讨论。
  3. 产品文档:GitHub 上提供了详细的文档,可在 wiki 板块阅读。
  4. 官方网站:www.chanzikeji.com
  5. 下载地址:github 下载
  6. 备用地址:云盘下载

微信公众号:chanzisast

image

Clone this wiki locally