Часть 1. Предисловие

В предыдущих выпусках было представлено использование Fortify и Checkmarx.,В этом выпуске рассказывается об использовании Coverity, еще одного инструмента аудита кода.,Coverity может проверять коды на C, C++, Java и другие коды.,Очень хлопотно в использовании,По сравнению с Fortify и Checkmarx,Самое большое сожаление Coverity по поводу работы по аудиту кода заключается в том, что,Coverity требует, чтобы код был скомпилирован идеально (интересно, смогут ли пользователи сети решить этот недостаток),И в нашей повседневной работе,Маловероятно получить исходный код, который идеально компилируется.,Поэтому я не часто использую этот инструмент,Вероятно, именно поэтому Coverity не так широко используется в стране, как Fortify и Checkmarx.

Прошу помощи: Есть ли у кого-нибудь взломанная версия или пробная версия Codesecure, Klockwork и IBM Security AppScan Source Если удобно, пришлите мне на пробу. Гарантирую, что она не будет распространяться среди других и не будет. можно использовать в коммерческих целях. Спасибо♪(･ω･)ﾉ.

Часть 2. Процесс аудита кода Java

• Процесс использования клиента

После установки Coverity,Дважды щелкните ярлык на рабочем столеcov-wizard.exeмогу открыть одинguiинтерфейс,Новичкам рекомендуется сначала начать с графического интерфейса.,После ознакомления с,Начнем с очень сложного использования командной строки.

Сначала создайте новое имя проекта“project111”：

Далее приступаем к настройке различных параметров аудита кода Coverity:

1 “рабочий каталог”,Укажите папку кода Java, в которой вы хотите провести аудит кода.

2 “промежуточный каталог”,Укажите папку для вывода результатов сканирования,Подготовьтесь к созданию будущего отчета о аудите кода.

3 “Настройки сборки”,Укажите метод компиляции кода Java.

Существует множество методов создания командной строки Java. Я перечислю два метода компиляции, доступных для личного тестирования:

1. Прозрачный：mvn clean , строить：mvn package

2. Прозрачный：ant clean , строить：ant

Следующий клик“Следующий шаг”,Проверьте соответствующие правила сканирования,Вы также можете оставить его отмеченным по умолчанию.

Нажмите“Расширенные возможности анализа”,Можно установить“Максимальная рабочая память (МБ)”,Его также можно установить вручную“Уровень агрессии”。

Следующий клик“Запустить анализ”,Вы можете начать работу по аудиту кода.

Нажмите“консоль”кнопка,Вы можете увидеть весь процесс сканирования кода.

Как показано ниже,да“mvn clean”процесс。

Как показано на рисунке ниже, Coverity начинает подготовку к анализу кода.

Как показано на рисунке ниже, отображаются результаты сканирования, соответствующие различным веб-уязвимостям.

Следующий клик“промежуточный каталог Подробности”,Вы можете увидеть обзор результатов аудита кода.

• Использование веб-интерфейса

После того, как клиент завершит сканирование кода, результаты сканирования могут быть загружены на веб-страницу Coverity. HTTP-порт Coverity по умолчанию — 8080, а https — 8443. Мы можем войти в систему, введя имя пользователя и пароль, установленные в процессе установки.

После успешного входа в систему отобразится следующий веб-интерфейс.

существовать“Конфигурация — проекты и потоки данных”интерфейс下,Создать новый“поток данных”,Назван как“111111”,后续可以将代码审计结果放существовать此“поток данных”Показано ниже。

Посетите следующий URL-адрес,Нажмите“Создать и скачать”может создатьauth-key.txtдокумент,这个документда需要提供给客户端程序cov-analysis.exeиспользовать。

https://win-iccdc05mgj6:8443/authentication-keys

• Клиент отправляет результаты сканирования

существовать客户端程序“Coverity Wizard”интерфейс下,существовать“Проверка файла ключа”Импортировать вauth-key.txtдокумент,Нажмите“тестовое соединение”,намекать“Успешно подключено”,Это показывает, что с нашей конфигурацией проблем нет.

Следующий выбор“Отправить впоток данных”из“111111”имя,然后Нажмите“Сообщить о дефекте”,Результаты сканирования можно загрузить в веб-интерфейс для отображения.

Жаль,Когда я тестировал раньше,Использование веб-интерфейса может быть успешным,但да现существовать始终显示“[ERROR] The server's certificate is not yet valid. It will become valid on 2022-12-23 06:58:26 UTC.”эта ошибка,Если у вас есть решение, пожалуйста, оставьте сообщение и дайте мне знать. Спасибо.。正常不出错из话,Результаты аудита кода будут отображаться следующим образом:

Чтобы просмотреть отчет о сканировании, наконец, экспортируйте отчет в формате html, чтобы просмотреть окончательный отчет о результатах проверки кода в локальном браузере.

1 Как показано на рисунке ниже, это результат уязвимости SQL-инъекции.

2 Как показано на рисунке ниже, это результат уязвимости внедрения Xpath.

3 Как показано на рисунке ниже, это результат уязвимости кода XSS.

Резюме части 3

1. Многие отечественные исследователи предпочитают использовать Coverity для аудита кода C и C++. Он очень мощный, но очень хлопотный в использовании и требует от каждого внимательного прочтения инструкции по эксплуатации.

2. Если у вас есть новая версия программы Coverity, если она удобна, вы можете прислать ее мне для изучения.

3. Help: Which friend has a cracked or trial version of Codesecure, Klockwork, and IBM Security AppScan Source? If it's convenient, send it to me for trial, and I guarantee that it will not be used for commercial purposes。Thanks♪(･ω･)ﾉ。Contact me by e-mail : 0day123abc#gmail.com(replace # with @)。