探索网络安全新技术
攀登黑客技术最高峰

Bearer:功能强大的代码安全扫描工具(SAST)

Bearer:功能强大的代码安全扫描工具(SAST)-威武网安

工具介绍

Bearer是一款功能强大的代码安全扫描工具(SAST),可以帮助广大研究人员发现并过滤目标应用代码中存在的安全问题和隐私风险,并确定安全问题的优先级。

当前版本的Bearer支持扫描JavaScript、TypeScript和Ruby技术栈实现的应用程序,针对Java应用的支持目前仍在开发过程中。

功能介绍

当前版本的Bearer命令行接口支持扫描下列内容:

1、未过滤的用户输入(sql注入、路径遍历等);

2、通过Cookie、内部记录器、第三方日志记录服务和分析环境泄露的敏感数据;

3、使用弱加密库或滥用加密算法;

4、敏感数据的未加密传入和传出通信(HTTP、FTP、SMTP);

5、硬编码的秘密和令牌;

工具安装

安装Bearer命令行接口

安装Bearer命令行接口最简单的方式就是直接食用工具安装脚本,脚本会自动选择最合适的架构并编译代码,默认安装目录问./bin:

curl -sfL https://raw.githubusercontent.com/Bearer/bearer/main/contrib/install.sh | sh

Homebrew

brew install bearer/tap/bearer
brew update && brew upgrade bearer/tap/bearer

Debian/Ubuntu

sudo apt-get install apt-transport-https
echo "deb [trusted=yes] https://apt.fury.io/bearer/ /" | sudo tee -a /etc/apt/sources.list.d/fury.list
sudo apt-get update
sudo apt-get install bearer

工具使用

使用Bearer命令行接口最简单的方法就是结合OWASP Juice Shop样例项目一起使用,该项目模拟了真实场景下包含了常见安全漏洞的JavaScript项目,具体操作如下,先将该项目源码克隆至本地:

git clone https://github.com/juice-shop/juice-shop.git

然后针对项目目录运行bearer scan命令:

bearer scan juice-shop

扫描完成后,Bearer将会输出扫描结果,并生成详细的安全分析报告。

视频演示

https://user-images.githubusercontent.com/1649672/230438696-9bb0fd35-2aa9-4273-9970-733189d01ff1.mp4

工具下载

https://github.com/Bearer/bearer

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《Bearer:功能强大的代码安全扫描工具(SAST)》
文章链接:https://www.wevul.com/1415.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册