關于CodeCat
CodeCat是一款功能強大的靜态代碼分析工具,該工具現已開源,在CodeCat的幫助下,廣大研究人員可以輕松地使用靜态代碼分析技術來查找代碼中的安全問題,或跟蹤使用者的輸入資料。
CodeCat主要基于正規表達式規則實作其功能,目前版本CodeCat所實作的正規表達式規則适用于C、C++、GO、Python、JavaScript、SWIFT、PHP、Ruby、ASP、Kotlin、DART和Java。除此之外,廣大研究人員也可以根據自己需要自行建立正則規則。
工具運作機制
工具依賴
該工具基于Python 3開發,是以我們首先需要在本地裝置上安裝并配置好Python 3環境。
工具安裝
接下來,廣大研究人員可以使用下列指令将該項目源碼克隆至本地:
git clone https://github.com/CoolerVoid/codecat.git 複制
接下來,在指令行終端中切換到該項目下,然後使用下列指令安裝該工具的後端和前端庫,并安裝該工具所需的依賴元件:
$ apt install python3-pip
$ cd Frontend
$ sudo python3 -m pip install -r requirements.txt
$ cd ..
$ cd Backend
$ sudo python3 -m pip install -r requirements.txt 複制
工具使用
安裝完成之後,我們就可以使用下列指令運作該工具的後端和前端了:
$ cd Codecat
$ cd Frontend; python3 wsgi.py &
$ cd ..
$ cd Backend; python3 wsgi.py & 複制
現在,我們需要儲存自己的使用者名和密碼,然後完成登入即可:
$ curl -i -X POST -H "Content-Type: application/json" -d '{"email":"[email protected]","username":"admin","password":"rubrik123"}' https://127.0.0.1:50001/api/users -k 複制
/API/users節點隻會在工具第一次安裝部署的時候運作一次,如果你試圖再次向該節點發送請求來插入新的使用者的話,而且節點傳回404錯誤的話,說明就是安全的。
接下來, 通路“https://127.0.0.1:50093/front/auth/”,我們就可以使用使用者名“admin”和密碼“rubrik123”來進入system-auth系統認證子產品了。
TLS配置
廣大研究人員可以在“wsgi.py”檔案中配置并加載TLS證書。
工具運作截圖
工具菜單
插入規則
代碼審計
緩存搜尋
許可證協定
本項目的開發與釋出遵循GPL-3.0開源許可證協定。
工具使用視訊
https://www.you*tube.com/watch?v=Bmfhsr3BvyA
項目位址
https://github.com/CoolerVoid/codecat
參考資料
https://github.com/CoolerVoid/codecat/blob/master/doc/raptor.pdf