开源 Swallow 代码审计系统体验

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,内容安全 1000次 1年
对象存储 OSS,恶意文件检测 1000次 1年
简介: 最近在哔哩哔哩看 到Swallow 代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.底层架构为蜻蜓编排系统,墨菲SCA,fortify,SemGrep,hema

最近在哔哩哔哩看 到Swallow 代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.

>底层架构为蜻蜓编排系统,墨菲SCA,fortify,SemGrep,hema

>项目地址:https://github.com/StarCrossPortal/swallow

>安装与使用视频教程:https://www.bilibili.com/video/BV14h411V7m5/

## 添加仓库

安装过程我就不讲了,直接记录如何使用,以及效果吧.

首先需要在仓库列表,找到添加按钮,将Git仓库地址放进去,然后会自动添加到列表中

![](https://oss.songboy.site/blog/20230327145214.png)

如上图所示,可以一次性添加多个仓库,每行一个仓库地址就行了

## 漏洞管理

添加进去之后,等了5分钟,便扫出了一些结果,漏洞管理这个列表出来的是fortify扫描出来的漏洞,

![](https://oss.songboy.site/blog/20230327145256.png)

点击查看详情,能看到污点参数的入口,还有执行的位置,如下图所示

![](https://oss.songboy.site/blog/20230328165110.png)

fortify的报告是英文版本,不过也都是一些常见的词汇,用这到没啥影响.

## 查看危险函数

危险函数其实是通过semgrep实现的危险规则检测,比如当调用一些敏感函数,会在这里出现;当然出现的其实也不仅仅是危险的函数,可能还会有一些其他的规则

![](https://oss.songboy.site/blog/20230327145319.png)  

查看详情之后,这里会看到详细的漏洞信息

![](https://oss.songboy.site/blog/20230328165315.png)

如上图所示,这个提示是说代码里用到了`system`函数,然后就是解释这个函数为什么有相关安全风险.

## 查看依赖漏洞

依赖漏洞指的是A项目用到了B项目的代码,如果B项目出现漏洞,那么可能导致A项目也出现,Swallow的依赖漏洞检测使用的是墨菲SCA工具,如下图所示

![](https://oss.songboy.site/blog/20230327145416.png)

展开详情页后,可以看到依赖漏洞的CVE编号

![](https://oss.songboy.site/blog/20230328172246.png)

## 查看WebShell

webshell检测用的工具时河马,这个工具目前会将可疑的文件列出来,但不会犹太详细的信息

![](https://oss.songboy.site/blog/20230327145352.png)

## 查看依赖组件

最后是依赖组件列表,会将项目所依赖的组件都解析出来,但这些信息只是辅助,并不是说这些组件都存在安全问题.

![](https://oss.songboy.site/blog/20230327145335.png)

相关实践学习
借助OSS搭建在线教育视频课程分享网站
本教程介绍如何基于云服务器ECS和对象存储OSS,搭建一个在线教育视频课程分享网站。
目录
相关文章
|
11月前
|
安全 小程序 PHP
PHP代码审计(七)Rips源代码审计系统使用教程
上一篇中提到的Seay源代码审计系统是由C#编写的winform程序,现在已经停止更新了,但是,还是比较好用的。 PHP代码审计还有另一个工具,也是一个神器Rips
303 0
|
11月前
|
安全 小程序 PHP
PHP代码审计(六)Seay源代码审计系统使用教程
www.cnseay.com/ 当然,这个已经不能访问了。 软件的版本比较早,需要.NET framework3.5框架,我这里是软件启动的时候自动提醒安装,如果没有自动提醒,那么你需要手动安装.NET frameWork3.5框架,否则,程序应该是没有办法运行。
1133 0
|
11月前
|
安全 小程序 PHP
PHP代码审计(五)PHP代码审计方法与步骤
(1):获取到网站源码(这就是废话……) (2):将网站部署到你自己的环境中,能运行。 这里特殊说明一下我的习惯,我本地的环境与线上的环境基本上保持一致,这样在本地审计及线上部署的时候能发现更多的问题。不建议说是随便搭个环境能跑起来就行,这样不是很严谨。 (3):拿到源码之后,浏览大概的项目结构。
123 0
|
11月前
|
Shell PHP Windows
PHP代码审计(四)PHP文件操作函数(2)
改变文件所有者。如果成功则返回 TRUE,如果失败则返回 FALSE。 语法:chown(file,owner)
74 0
|
11月前
|
安全 Unix Shell
PHP代码审计(四)PHP文件操作函数(1)
改变文件所有者。如果成功则返回 TRUE,如果失败则返回 FALSE。 语法:chown(file,owner)
71 0
|
5月前
|
SQL 监控 安全
代码审计-PHP原生开发篇&SQL注入&数据库监控&正则搜索&文件定位&静态分析
代码审计-PHP原生开发篇&SQL注入&数据库监控&正则搜索&文件定位&静态分析
|
6月前
|
PHP
【攻防世界】easyphp(PHP代码审计)
【攻防世界】easyphp(PHP代码审计)
|
11月前
|
XML 开发框架 .NET
代码审计之PHP基础铺垫
代码审计之PHP基础铺垫
88 0
|
11月前
|
小程序 Shell PHP
PHP代码审计(四)PHP文件操作函数(3)
改变文件所有者。如果成功则返回 TRUE,如果失败则返回 FALSE。 语法:chown(file,owner)
54 0
|
11月前
|
SQL 小程序 Shell
PHP代码审计(三)php中代码执行&&命令执行函数
string system(string command,int &return_var) 可以用来执行系统命令并直接将相应的执行结果输出 system() 输出并返回最后一行shell结果。
92 0