极速代码审计,前端采用golang的fyne模块做gui,支持Python,PhP和Python三种语言扫描。
主要针对 高危系统命令函数和java中maven 的pom.xml 依赖包的供应链去代码中进行关键字匹配,原理简单,操作方便。支持本地和远程gitlab两种方式。
getParameter() #获取参数。getcookies() #直接获取会话。getQueryString() #获取SQL语句。getHeaders() #获取HTTP请求头。Runtime.exec() #执行系统命令
logger.info() #日志输出,可造成信息泄露的风险
PhP的危险函数
有passthru()函数、exec()函数、system()函数、chroot()函数、chgrp()函数、chown()函数、shell_exec()函数、proc_open()函数、proc_get_status()函数、ini_alter()函数、ini_set()函数、ini_restore()函数、dl()函数、pfsockopen()函数等等。
Python危险函数
1. eval函数,2. exec函数.3. pickle模块。4,sys.argv。5argparse.,6os.system.7,subprocess.
