代碼審計(jì)工具分享

吉祥學(xué)安全知識(shí)星球🔗除了包含技術(shù)干貨：Java代碼審計(jì)、web安全、應(yīng)急響應(yīng)等，還包含了安全中常見(jiàn)的售前護(hù)網(wǎng)案例、售前方案、ppt等，同時(shí)也有面向?qū)W生的網(wǎng)絡(luò)安全面試、護(hù)網(wǎng)面試等。

這兩年一直都在提“安全左移”（Security Shift Left）的問(wèn)題，提到安全左移那自然離不開(kāi)代碼審計(jì)這一關(guān)。

代碼審計(jì)（Code Audit）是安全左移中的一個(gè)重要環(huán)節(jié)。代碼審計(jì)是指對(duì)源代碼進(jìn)行系統(tǒng)的審查，以發(fā)現(xiàn)潛在的安全漏洞的地方。代碼審計(jì)可以在軟件開(kāi)發(fā)過(guò)程中的多個(gè)階段進(jìn)行，包括：

1. 編碼階段：開(kāi)發(fā)者在編寫(xiě)代碼時(shí)，通過(guò)代碼審計(jì)來(lái)確保他們的代碼沒(méi)有明顯的安全漏洞。

2. 代碼審查階段：在代碼提交到代碼庫(kù)之前，通過(guò)同行評(píng)審（Peer Review）的方式來(lái)審計(jì)代碼，這有助于發(fā)現(xiàn)潛在的安全問(wèn)題。

3. 測(cè)試階段：在軟件測(cè)試階段，可以通過(guò)自動(dòng)化工具或手動(dòng)審查的方式對(duì)代碼進(jìn)行審計(jì)，以確保在部署之前發(fā)現(xiàn)并修復(fù)安全漏洞。

而代碼審計(jì)其實(shí)它又是一種靜態(tài)審計(jì)過(guò)程，根據(jù)一些可能引入危險(xiǎn)的關(guān)鍵詞如：exec、eval、system等，這些函數(shù)可能導(dǎo)致代碼執(zhí)行或命令注入漏洞。

對(duì)于特定語(yǔ)言，還會(huì)關(guān)注與數(shù)據(jù)庫(kù)交互的函數(shù)（如SQL注入相關(guān)的SQL_query、execute等）和與Web交互的函數(shù)（如XSS相關(guān)的innerHTML、document.write等）。

前幾天寫(xiě)過(guò)GPT繞過(guò)驗(yàn)證碼的文章GPT-4o的視覺(jué)識(shí)別能力，將繞過(guò)所有登陸的圖形驗(yàn)證碼，今天就給大家介紹一款含有g(shù)pt的代碼審計(jì)工具

項(xiàng)目地址：https://github.com/yuag/Code-audit

GPT代碼審計(jì)模塊記得用梯子

關(guān)鍵字搜索

危險(xiǎn)函數(shù)搜索

自動(dòng)化代碼審計(jì)

漏洞發(fā)現(xiàn)：