CodeQL扫描源码漏洞

联合创作 · 2023-10-02 02:44

CodeQL 是一个语义代码分析引擎，它可以扫描发现代码库中的漏洞。使用 CodeQL，可以像对待数据一样查询代码。编写查询条件以查找漏洞的所有变体，并处理，同时可以分享个人查询条件。

UnsafeDeserialization.ql

from DataFlow::PathNode source, DataFlow::PathNode sink, UnsafeDeserializationConfig conf

where conf.hasFlowPath(source, sink)

select sink.getNode().(UnsafeDeserializationSink).getMethodAccess(), source, sink,
    "Unsafe deserialization of $@.", source.getNode(), "user input"

浏览 6

点赞

收藏

分享

举报

评论

图片

表情

漏洞扫描服务

通过漏洞扫描器对指定的远程或者本地计算机系统进行安全脆弱性检测，提供专业漏洞扫描报告

漏洞扫描 LWS

Web漏洞扫描（Landui Web Scan）是用于检测Web网站漏洞的安全服务。可以准确、全面扫描Web网站程序中存在的漏洞，避免漏洞被黑客利用影响网站安全；与传统或开源的漏洞扫描产品相比具有抓取数据更全面、误报率更低、漏洞库更新及时且不影响业务等优势。

漏洞发现:代码分析引擎 CodeQL

codeql 是一门类似 SQL 的查询语言，通过对源码（C/C++、C#、golang、java、JavaScript、typescript、python）进行完整编译，并在此过程中把源码文件的所有相关信息（调用关系、语法语义、语法树）存在数据库中，然...

log4jScannerlog4j 漏洞扫描工具

log4jScannerlog4j 漏洞扫描工具

Nikto漏洞扫描工具

Nikto是一款开放源代码的、功能强大的WEB扫描评估软件，能对web服务器多种安全项目进行测试的扫描软件，能在230多种服务器上扫描出2600多种有潜在危险的文件、CGI及其他问题，它可以扫描指定主

log4jScannerlog4j 漏洞扫描工具

log4jScanner是专门扫描log4j漏洞的工具，此工具可用于扫描内部子网，以查找易受攻击的log4jWeb服务。它尝试将JNDI负载发送到每个发现的Web服务和常见的HTTP/S端口列表。对于

Tsunami漏洞扫描程序

Tsunami是具有可扩展插件系统的通用网络安全扫描程序，可用于 highconfidence 地检测高严重性漏洞。Tsunami 严重依赖其插件系统来提供基本的扫描功能。目前，Tsunami已发布在

工控漏洞扫描平台

安恒工控漏洞扫描平台是针对工业控制系统网络环境中存在的设备进行漏洞检测的专业设备，通过对设备信息、漏洞信息的分析结果展示，能够让工控系统管理者全面掌握当前系统中的设备使用情况、设备分布情况、漏洞分布情况、漏洞风险趋势等内容。从而实现对重点区域或者高危区域进行有针对性的重点整治的目的。

Tsunami漏洞扫描程序

Tsunami 是具有可扩展插件系统的通用网络安全扫描程序，可用于 high confidence

log4j-finderLog4Shell 漏洞扫描工具

log4j-finder是一个Python3脚本，用于扫描文件系统以查找易受Log4Shell(CVE-2021-44228&CVE-2021-45046)攻击的Log4j2版本。它会在磁盘上

点赞

收藏

分享

举报