使用codeql进行代码审计
2024-10-18🌱湖州: 🌦 🌡️+28°C 🌬️→10km/h
前提
按照我之前的文章CodeQL的使用下载配置好环境
- codeql
- vscode
步骤🎏
准备阶段
首先打开以下的网址,里面是官方提供的ql查询方法,可以直接使用
https://codeql.githubdocs.cn/codeql-query-help/java/
- 创建数据库类似如上的命令,
1
codeql database create D:/tools/CodeQL/databases/codeql_ruoyi-wechat-mp --language="java" --command="mvn clean install --file pom.xml" --source-root=D:\JavaProgram\ruoyi-wechat-mp\
- 打开vscode,导入数据库
导入刚刚生成的数据库
xss审计
脚本位置:
codeql/java/ql/src/Security/CWE/CWE-079/XSS.ql
SSRF审计
脚本位置
codeql/java/ql/src/Security/CWE/CWE-918/RequestForgery.ql
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Liusha's Blog!
相关推荐
2024-10-24
jspxcms代码审计
2024-10-24🌱湖州: ☀️ 🌡️+20°C 🌬️↙11km/h 废话不多说,直接开始审计参考: https://www.cnblogs.com/yokan/p/16248509.html https://0xf4n9x.github.io/jspxcms-code-audit-learn.html 源码地址https://www.ujcms.com/uploads/jspxcms-9.5.0-release-src.zip 部署java8+mysql5.7.26 这里直接使用phpstudy部署mysql环境,然后启动 然后执行sql命令123create database jspxcms_testuse jspxcms_testsource mysql.sql 我这里使用DataGrip连接数据库,然后执行database目录下的sql文件 配置idea在application.properties中设置数据库的名称、密码等等 然后配置运行文件jdk8,项目结构中语言等级选择8 然后直接运行即可 技术栈 SpringMVC...
2024-10-23
ruoyi-vue-pro代码审计
2024-10-23🌱湖州: ☀️ 🌡️+13°C 🌬️←4km/h 线上实践项目地址:http://zlbz.uzz.edu.cn/login 源码项目地址:https://github.com/YunaiV/ruoyi-vue-pro 使用CodeQL进行分析 生成数据库 1codeql database create D:/tools/CodeQL/databases/codeql_ruoyi-vue-pro --language="java" --command="mvn clean install --file pom.xml" --source-root=D:\JavaProgram\ruoyi-vue-pro\ 这里审计的是最新版本的,并没有发现什么漏洞,果然经常更新的项目是没有啥漏洞的
2024-06-11
ruoyi-wechat-mp代码审计
✍内容部署ruoyi-wechat-mp下载1git clone https://gitee.com/zhangjqi2015/ruoyi-wechat-mp.git ruoyi官网文档https://doc.ruoyi.vip/ruoyi/document/hjbs.html#%E9%83%A8%E7%BD%B2%E7%B3%BB%E7%BB%9F 安装参考文档https://blog.csdn.net/m0_67376124/article/details/127617498 修改数据库的连接配置打开ruoyi-wechat-mp/ruoyi-admin/src/main/resources/application-druid.yml 1234567j# 主库数据源 master: url:...
2024-05-31
正方统一管理认证系统代码审计
...
