查看原文
其他

第41篇:Klocwork代码审计/代码扫描工具的使用教程

abc123info ABC123安全研究实验室 2023-02-12

 Part1 前言 

前面几期介绍了Fortify、Checkmarx、Coverity等商用代码审计工具的使用,方便大家上手,本期介绍另一款商用代码审计工具Klocwork的使用。Klocwork是来自加拿大的代码审计工具,同样可以支持C++、java及c#等代码的审计工作。

求助:哪位朋友有Codesecure、IBM Security AppScan Source、国产的codepecker代码审计工具的破解版或者是试用版,方便的话发我试用一下,保证不外传,保证不用于商业目的,Thanks♪(・ω・)ノ


 Part2 使用过程 

正版软件是需要加密狗授权的,我这里摸索出来一个标准步骤,方便大家上手少走弯路。Klocwork安装完成后,将以下两个路径添加到环境变量中:C:\Klocwork\10\CMD\binC:\Klocwork\10\Server\bin在使用之前,首先删除C:\Klocwork\10\Server目录的log文件。


接下来分别启动Klocwork代码审计工具的3个服务,强烈建议大家不要选择一键启动,否则服务启动失败,难以排查原因出在哪里。

 1   启动license服务:

kwservice -r projects_root start license

 2   启动数据库服务:

kwservice -r projects_root start database

 3   启动Web服务和分析引擎:

kwservice -r projects_root start klocwork


访问如下URL地址,如果Web界面能够正常打开,说明前面步骤没有问题。

http://127.0.0.1:8085/portal/Portal.html


在正式开始审计Java代码前,需要设置一下Java编译环境,添加ANT环境变量%ANT_HOME%\bin如下。


接下来开始对Java代码进行编译。首先运行ant clean,等待编译完成,点击kwant之后,在你选择的java代码文件夹中会生成一个kwinject.out文件。


接下来连续运行3个命令:kwcheck createkwcheck import kwinject.outkwcheck run


扫描完成之后,执行kwgcheck,会弹出一个软件界面,点击最下边的漏洞问题条目,即可对代码漏洞进行分析和查看。


如果出现中文乱码问题,可以在这里选择UTF-8编码。


Klocwork我用的不是很多,这篇文章旨在节省大家看长篇大论的说明书的时间。


 Part3 总结 

Help: Which friend has a cracked or trial version of Codesecure, Klockwork, and IBM Security AppScan Source? If it's convenient, send it to me for trial, and I guarantee that it will not be used for commercial purposes。Thanks♪(・ω・)ノ。Contact me by e-mail : 0day123abc#gmail.com(replace # with @)。


专注于网络安全技术分享,包括红队攻防、蓝队分析、渗透测试、代码审计等。每周一篇,99%原创,敬请关注

Contact me: 0day123abc#gmail.com(replace # with @)

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存