В этой статье представлено пошаговое руководство по установке и использованию CodeWarrior для SAST. Читатели смогут увидеть практический пример инсталляции данного инструмента.
CodeWarrior – это инструмент для SAST (Static Application Security Testing), поддерживающий несколько языков программирования, таких как C, PHP, Java, Ruby, ASP и JavaScript для выявления различных уязвимостей в безопасности. Программа доступна для работы на системах Linux OX, BSD и macOS. Пользователям не нужно устанавливать инструмент на саму машину, достаточно просто скомпилировать его с помощью команды «make », чтобы открыть программу после завершения загрузки.
Кроме того, поскольку это веб-приложение, Apache не требуется . После запуска программы пользователю будет предложено выбрать исходный код для сканирования, открыв свой веб-браузер. В сравнении с другими инструментами эта программа имеет достаточно низкий уровень ложных срабатываний.
Установка, настройка и возможности инструмента CodeWarrior
Читатели могут скачать этот инструмент с сайта GitHub . Они также способны клонировать репозиторий Git с помощью следующей команды:
git clone https://github.com/CoolerVoid/codewarrior.git
cd CodeWarrior
$ make
CodeWarrior работает по протоколу HTTPd с TLS и использует принцип KISS. Это принцип проектирования, который гласит, что системы работают лучше всего, если они просты, а не усложняются нарочно.
- Для компиляции CodeWarrior нуждается в предустановленном «gcc ». Если он не установлен, пользователю необходимо ввести эту команду:
sudo apt-get install gcc
После загрузки репозитория человеку нужно будет скомпилировать его с помощью команды «make ». Пользователь открывает загруженный файл (bin/warrior ).
Теперь стоит перейти по следующему адресу https://127.0.0.1:1345/index.html в браузере.
Далее нужно предоставить читателям небольшое руководство по настройке инструмента:
- Пользователь протестировал этот инструмент на репозитории, содержащем неполный и уязвимый код. Следует нажать сюда, чтобы скачать его.
- Используется команда «git clone » для клонирования этого репозитория в систему пользователя.
- После клонирования репозитория человек открывает свой браузер и вводит путь, по которому репозиторий будет сохранен в его системе.
- Репозиторий содержит PHP-код. Нужно выбрать опции «PHP Common fails » в модуле и «.php » в расширении.
- Человек нажимает на кнопку «Start ». Ему будут показаны возможные уязвимости с конкретным описанием каждой находки.
Каталоги
- web / = локальные источники JavaScript, html и CSS;
- src/ = исходный код C (веб-сокет);
- eggs/ = внешние модули для поиска кода с помощью регулярных выражений;
- whitelist.conf = список IP-адресов, имеющих доступ к серверу HTTPd;
- bin/ = файлы, которые следует открыть;
- doc/ = конструктор;
- lib/ = внешние библиотеки;
- cert/ = загрузка сертификатов для TLS.
Создание сертификата
Если есть необходимость создать свой собственный сертификат, следует ввести следующие команды:
cd cert
openssl req -x509 -sha256 -nodes -days 365 –newkey rsa:2048 –keyout certkey.key -out certificate.crt
cat certificate.crt certkey.key > certkey.pem
cd ..
Заключение
Если есть ошибка возврата, то это означает, что порт уже используется. Его можно закрыть с помощью команды:
$ fuser -k n tcp 4444
- Следует использовать браузер Chrome для запуска приложения.
- Пользователь применяет данные 127.0.0.1, не используя имя localhost.
- Если человек столкнулся с проблемой в процессе компиляции, то необходимо искать генерируемую ошибку.
- В большинстве случаев необходимые библиотеки не предустановлены, из-за чего часто возникают проблемы при компиляции.
К примеру, библиотека для OpenSSL не была установлена заранее. Итак, чтобы исправить данную ошибку, вводят следующую команду:
Автор переведенной статьи: Sudhansu Shekhar.
ЧИТАТЬ ВСЕ СТАТЬИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
