枫少@KillBoy
459,433字数 513阅读1分42秒阅读模式
AI智能摘要
担心Java代码安全漏洞防不胜防?Xcheck引擎以低于10%的误报率精准锁定Spring、Servlet等主流框架的安全隐患。实测扫描速度达每秒万行,对SQL注入、反序列化等高危漏洞召回率高达100%。最新案例显示,该工具成功捕获Apache Ambari远程代码执行漏洞,精准还原从污点引入到漏洞触发的完整攻击链。专业代码安全审计工具如何为你的项目筑起防线?
— AI 生成的文章内容摘要
Java安全检查引擎
Xcheck的java安全检查引擎支持Spring RequestMapping、JAX-RS、WebService和Java Servlet几种常用web接口的代码安全检查,目前内部误报率数据统计低于10%,扫描速度1w+行每秒。
覆盖漏洞类别包括但不限于以下:
- 系统命令注入
- 模板注入
- 反序列化
- 路径穿越漏洞
- SQL注入
- XML实体注入
- XPATH注入
OWASP Benchemark评测结果
OWASP benchmark是OWASP组织下的一个开源项目,又叫作OWASP基准测试项目,它是免费且开放的测试套件。可用来评估那些自动化安全扫描工具的速度、覆盖范围和准确性。
从上图结果可以看出,对注入类漏洞(LDAPI、PATH Traversal、SQLI、XPATHI、CMDI)Xcheck的召回率均达到了100%。
从上图可以看出,对于基于benchmark评测,Xcheck的测试结果是与现有的某些商业化的代码检查工具的测试结果是不相上下的。
Apache Ambari任意代码执行漏洞:CVE-2014-3582 检测
在对内部项目的代码检查中,发现一个项目存在命令注入漏洞,经过查找,确认是已经披露出来的Apache Ambari任意代码执行漏洞——CVE-2014-3582。
漏洞分析如下:
- 污点引入,
java/org/apache/ambari/server/security/unsecured/rest/CertificateSign.java,63行 - 跟进signAgentCrt函数,
java/org/apache/ambari/server/security/CertificateManager.java,187行。在192行将污点传递给agentHostname,在239行agentHostname传递给agentCrtName,然后又到scriptArgs当中。
java/org/apache/ambari/server/security/CertificateManager.java,271行。调用runCommand函数,然后触发漏洞。
整理数据流分析图如下:
4 最后
Xcheck作为国内新生的代码安全审计工具,面对这些早已名声在外的前辈,会时刻保持谦逊,不断进取向前。后续我们Xcheck团队也会持续披露Xcheck发现的一些有价值的漏洞或者分享代码安全审计相关技术。
专注于代码安全 | 公众号:腾讯代码安全检查Xcheck
- 污点引入,
北京市 1F
误报率低于10%挺厉害的,我们公司用的那个工具动不动就误报一堆。
安徽省合肥市 2F
扫描速度1w+行每秒?这个速度在实际项目里够用吗?
广东省东莞市 3F
之前用过其他商业工具,感觉Xcheck这个评测结果确实不差。
江苏省苏州市 4F
对注入类漏洞的召回率100%,这个数据有点猛啊。
柬埔寨 5F
命令注入那个案例讲得挺清楚,跟着图看数据流一下就明白了。
江苏省无锡市 6F
专注代码安全的公众号,关注一波看看后续。
韩国 7F
支持Spring和Servlet这些主流框架,覆盖面可以。
湖北省荆州市松滋市 8F
OWASP benchmark的评测结果有图吗?文章里好像没看到。
澳大利亚 9F
1w+行每秒是理想环境吧,实际扫大项目会不会掉速?
天津市 10F
新工具能有这个水平不容易,期待后续的漏洞分享。
江西省南昌市 11F
误报率10%算行业什么水平?
韩国 12F
扫大项目内存会不会爆?
浙江省 13F
这个工具能集成到CI/CD里吗?
山东省青岛市 14F
检测出来的漏洞有修复建议吗?
马来西亚 B1
@ 老鹰展翅 检测到漏洞后能给修复方案就更好了
湖南省永州市 15F
命令注入案例讲得挺清楚👍
山东省临沂市 16F
之前用fortify总误报,这个看起来靠谱
韩国 17F
SpringBoot项目支持吗?
越南 18F
关注公众号了,等后续技术分享
上海市 B1
@ 宝钗待时 公众号已关注,期待更多漏洞分析
浙江省 19F
扫描速度实际用起来咋样?
陕西省西安市 20F
CVE案例的数据流图画得直观
广西柳州市 21F
Spring项目试了下确实能扫出来
河北省石家庄市 22F
我们项目用JAX-RS,不知道支持得怎么样?
中国 23F
1w行每秒实际扫几十万行项目会降速吗
日本 24F
这误报率比我们用的商业工具低不少啊
湖南省株洲市 25F
命令注入案例的数据流分析很清晰
湖南省衡阳市 26F
工具能集成到Jenkins流水线里吗
日本 27F
看到说支持Servlet,那Struts2能用吗
重庆市 28F
之前用别的工具误报率30%,这个10%确实可以
北京市 29F
这工具误报率10%算低的了,我们公司用的那个经常误报得没法看。
河南省 30F
1w行每秒速度够用不?扫个百万级代码的项目得等多久?
日本 31F
命令注入那个案例画图好评,比纯文字描述清楚多了。
泰国 32F
支持WebService吗?我们老项目还在用这个框架。
日本 33F
数据流分析那块有点看不懂,有没有更简单的解释?
马来西亚 34F
看到说支持JAX-RS,具体是哪个版本?2.0还是2.1?
辽宁省沈阳市 35F
能集成到IDEA里当插件用吗?每次切出去扫描有点麻烦。
日本 36F
反序列化漏洞检测效果怎么样?现在好多漏洞都是这个类型的。
北京市 37F
工具是免费的吗?还是说只对企业收费?
山东省滨州市 38F
有试用版可以下载试试不?光看文章没概念啊。
上海市 39F
感觉是腾讯内部工具放出来的吧,质量应该还行。
广东省佛山市 40F
误报率低于10%还挺厉害的,很多工具都做不到
日本 41F
开源吗?想自己搭个试试。
印度尼西亚 42F
看数据好像还行,比之前用的工具快不少。
北京市 43F
检测到CVE-2014-3582这个例子挺实在的。