基于Github的源码白盒扫描工具Raptor

Raptor(猛禽)是一款基于WEB界面的github源代码扫描器。你只需要给它一个Github repository的URL地址,它就能进行自动扫描。

简单介绍

你也可以在Raptor设置WEB监控机制,在每次进行提交或者合并分支时,它会收到消息然后进行自动化扫描。这些扫描工作是异步进行的,而且只有启动扫描的用户自己才能看到扫描结果。

Raptor的一些特性:

插件体系结构(新加入的插件能直接使用+生成统一报告) WEB服务可以定时自动化运行(不需要去UI界面操作) 为新的漏洞或者编程语言,进行创建/编辑/删除签名的操作

笔者声明一下,这个项目是为了帮助社区和初创企业进行代码安全检测,可能不会有商业产品的那样的质量保证。此外,这个工具只是为了给代码审计和研发人员提供发现漏洞的切入点,所以请不要盲目信任工具输出的内容。

当然,如果你将它加入CI/CD(持续集成和持续交付)的话,那应该会不错的。

在这里Raptor集成了一些插件。大家注意,为了兼容本框架,下面不少的工具/模块/库都是被改过的:

MozillaScanJS – 扫描JavaScript (主要是客户端的Node.JS等等, 未来会支持Chrome和Firefox插件) Brakeman- 扫描Ruby Rails RIPS - 扫描PHP Manitree – 扫描 AndroidManifest.xml等等

规则包:

ActionScript – 扫描Flash/Flex(ActionScript 2.0 & 3.0)源 FindSecurityBugs (只含规则) – 扫描Java (J2EE, JSP, Android, Scala, Groovy等等) gitrob – 扫描敏感数据的泄露(包含证书/配置/备份/私密设置的信息)

安装步骤

笔者安装时,在Ubuntu 14.04 x64 LAMP环境下测试通过,点击阅读原文查看安装视频。

$ wget https://github.com/dpnishant/raptor/archive/master.zip -O raptor.zip

使用方法

点击阅读原文查看使用视频。

cd raptor-master

然后你就可以访问本地的WEB服务了:

http://localhost/raptor/

登陆

你可以用你在github服务器上注册的用户名来登陆,密码任意输入即可(但在查看扫描结果的时候,需要用到相应的用户名)。

比如,如果你在github.com上注册了账户foobar,你就需要用foobar这个账户名去扫描github.com上面的repos。

但是,如果你在私人的github服务器上注册了foobar_corp账户,比如:

https://github.corp.company.com/

在这时,你就需要使用账户foobar_corp,去扫描github.corp.company.com服务器上的repos。

提醒一下大家,现在没有在demo版本中搞数据库,所以现在密码验证的地方可以随意输入。

规则编辑器

你可以使用系统自带的轻量级GUI规则编辑器,用它来加入新的规则。当然啦,你也可以使用其他文本编辑器,因为规则包文件只是普通的JSON文件。

操作时只需要打开backend/rules下面的规则包,然后将修改/新增后的规则,保存在backend/rules目录下面即可。简单来说,你需要做的只有少量的编辑工作。

你可以通过这里的URL地址直接访问规则编辑器:

http://localhost/raptor/editrules.php

添加规则

ignore_list.rulepack:

你可以添加一些针对目录名/文件名的正则匹配,避免raptor去扫一些无用的文件如jquery.min.js,或者去深入扫描/test/这样的目录。

在“插件”选项里,规则插件都放在rules目录下。Issue区域是规则包文件里提到的issue的ID: Example#1, Example#2。match_type区域的值可以是regex/start/end三个选项,value区域的值是为了配合match_type区域而填写的字符串,这里需要进行Base64编码以防出现JSON syntax语法错误。

解释一下,match_type中的regex是基于正则的匹配,start会匹配字符串片段开头,end会匹配字符串片段结尾。

这是在扫描器扫描完issue后进行的,它会依次遍历发现的issue,然后去除其中(ignore_list.rulepack)里面匹配到的内容。

规则实例:{

your_rule_name.rulepack:

你自己可能也会创建一个新的规则包(rulepack)/扫描插件,然后将其加入扫描器框架。

如果你想要更好地利用这个扫描器,并不仅仅将其作为一个正则匹配器,你可以写一个像这样的简单扫描插件,在这里整合脚本,并脚本加入规则插件列表中。我想,这对那些有着python基础的人是非常简单的。

*参考来源:github,FB小编dawner编译,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-09-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java帮帮-微信公众号-技术文章全总结

Web-第十九天 Linux学习【悟空教程】

UNIX操作系统是商业版,需要收费,价格比Microsoft Windows正版要贵一些。不过UNIX有免费版的,例如:NetBSD等类似UNIX版本。

1724
来自专栏java相关

Redis学习笔记01---配置文件

1314
来自专栏前端正义联盟

gitflow 开发流程学习(第一部分)

3467
来自专栏后端技术探索

爬虫、代理和Nginx

做过爬虫的人应该都知道,抓的网站和数据多了,如果爬虫抓取速度过快,免不了触发网站的防爬机制,几乎用的同一招就是封IP。解决方案有2个:

3292
来自专栏北京马哥教育

Redis集群及管理讲解

一、为什么要弄redis集群 集群技术是构建高性能网站架构的重要手段,试想在网站承受高并发访问压力的同时,还需要从海量数据中查询出满足条件的数据,并快速响应,我...

4207
来自专栏Java成神之路

分布式_事务_01_2PC框架raincat快速体验

配置txManaager, 修改application.properties中你自己的redis配置 启动TxManagerApplication

2171
来自专栏令仔很忙

考试系统--底层框架发布时遇到的问题解决方案(Window7 IIS6.0)(一)

     原因:在安装Framework v4.0之后,再启用IIS,导致Framework没有完全安装

1273
来自专栏前端开发

[记] 初次体验小程序绑定合法域名的坑

3.6K6
来自专栏大数据智能实战

HBase启动过于缓慢的原因及其优化策略

当HBASE导入了几十亿的数据记录时,某一天重启一下HBASE,发现启动过于缓慢,一直在提示PleaseHoldException:Master is init...

2439
来自专栏零基础使用Django2.0.1打造在线教育网站

零基础使用Django2.0.1打造在线教育网站(九):初识后台管理

努力与运动兼备~~~有任何问题可以加我好友或者关注微信公众号,欢迎交流,我们一起进步!

3493

扫码关注云+社区

领取腾讯云代金券