官方开源仓库:
(点击最下方【阅读原文】可直接跳转)
https://github.com/Tencent/CodeAnalysis
国内工蜂镜像地址:https://git.code.tencent.com/Tencent_Open_Source/CodeAnalysis
该规则包重点关注各语言的安全类问题,针对OWASP Top10 中常见的漏洞进行分析,包括注入攻击、 XML 外部实体攻击、XSS跨站脚本攻击、反序列化漏洞、敏感数据暴露、URL重定向漏洞等,并结合CWE中常见漏洞,比如服务端请求伪造(SSRF)等,进行专项安全漏洞分析。
强化的安全规则主要有“致命”和“错误”级别,针对这些安全漏洞,TCA可以准确识别漏洞所在位置并提供修复建议。
已支持语言:Go、PHP、Python 已支持框架:ThinkPHP、Django
注:该规则包由TCA独立工具支持,需申请授权免费使用,申请传送门:
《CLS使用文档》:https://github.com/Tencent/CodeAnalysis/blob/main/server/cls/README.md
分析方案 -> 代码检查 -> “强化”规则包 -> 启用/查看规则
反序列化漏洞
XSS跨站脚本攻击
SSRF
命令行注入
SQL注入