Graudit(Grep粗糙审计)是一个简单的脚本和签名集,可让您使用GNU实用程序grep在源代码中找到潜在的安全漏洞。
它与RATS,SWAAT和瑕疵探测器等其他静态分析应用程序相媲美,同时将技术要求保持在最低程度并且非常灵活。
用法:
graudit /path/to/scan
以下选项可用:
- A 扫描所有文件
-B不打印横幅
-c 要显示的上下文行数,默认值为2
-d 数据库使用
-h 打印简短的帮助文本
-i 情况下的敏感搜索
-l 列出可用的数据库
-L vim友好线条
-v 打印版本号
-x 排除这些文件(逗号分隔列表:-x * .js,*。sql)
-z压缩
-Z 高对比度颜色
Graudit使用扩展正则表达式(POSIX)作为签名,并附带一些准备使用的数据库。如果您需要额外的签名,您可以扩展现有的数据库或创建自己的数据库。
全部是下面列出的所有数据库的组合数据库
Asp为Active Server Pages语言提供基本的审计支持
C提供对C编程语言的支持
它包含的通用规则应该与几种语言的常见漏洞相匹配。但是,为了找到特定语言的其他漏洞,您应该使用特定于语言的数据库。
Dotnet提供基本的支持
Jsp基本的JSP支持。
其他寻找可能表明问题的来源
PHP跟踪用户输入和函数调用
Python基本的Python支持
下载地址:https://github.com/wireghoul/graudit/
仅供于学习研究使用,不得非法使用,如非法操作,责任自行承担
你可能喜欢
领取专属 10元无门槛券
私享最新 技术干货