Graudit – Grep源代码审计工具

Graudit（Grep粗糙审计）是一个简单的脚本和签名集，可让您使用GNU实用程序grep在源代码中找到潜在的安全漏洞。

它与RATS，SWAAT和瑕疵探测器等其他静态分析应用程序相媲美，同时将技术要求保持在最低程度并且非常灵活。

用法：

graudit <options> /path/to/scan

以下选项可用：

– A 扫描所有文件

-B不打印横幅

-c <num>要显示的上下文行数，默认值为2

-d <db>数据库使用

-h 打印简短的帮助文本

-i 情况下的敏感搜索

-l 列出可用的数据库

-L vim友好线条

-v 打印版本号

-x 排除这些文件（逗号分隔列表：-x * .js，*。sql）

-z压缩

-Z 高对比度颜色

Graudit使用扩展正则表达式（POSIX）作为签名，并附带一些准备使用的数据库。如果您需要额外的签名，您可以扩展现有的数据库或创建自己的数据库。

全部是下面列出的所有数据库的组合数据库

Asp为Active Server Pages语言提供基本的审计支持

C提供对C编程语言的支持

它包含的通用规则应该与几种语言的常见漏洞相匹配。但是，为了找到特定语言的其他漏洞，您应该使用特定于语言的数据库。

Dotnet提供基本的支持

Jsp基本的JSP支持。

其他寻找可能表明问题的来源

PHP跟踪用户输入和函数调用

Python基本的Python支持

下载地址：https://github.com/wireghoul/graudit/

仅供于学习研究使用，不得非法使用，如非法操作，责任自行承担

文章出处：http://www.effecthacking.com，由华盟网翻译排版，转载请注明华盟网