Code Audit For Java Enterprise
一个代码审计的工具,计划包含以下分析引擎:
- 语义分析:分析程序中不安全的函数,方法的使用的安全问题
- 配置分析:分析项目配置文件中的敏感信息和配置缺失的安全问题
- 数据流分析:跟踪,记录并分析程序中的数据传递过程的安全问题
- 控制流分析:分析程序特定时间,状态下执行操作指令的安全问题
- 结构分析:分析程序上下文环境,结构中的安全问题
目前完成:
正则匹配.....=-=,即引擎2(部分),规则还需优化
java -jar CAFJE.jar config.properties
SSRF.xml 服务端请求伪造UserInfoLeak.xml 用户信息泄露SQLiHibernate.xmlFile.xml 操作文件XXE.xml XXEExec.xml 命令执行SQLiIbatis.xmlIntranetIPLeak.xmlSQLiJdbc.xmlSQLiMybatis.xmlFilePathManipulation.xml 操作文件路径XSS.xml XSSDemoRule.xml 规则DemoURL-Redirect.xmlObjectDeserialization.xml 反序列化FileUpload.xml 文件上传
更多:CAFJE 又一个Java Web代码审计工具