眼镜蛇-W-眼镜蛇白盒品白源代码审计工具 -白帽子版

写在最前，Cobra-W就像手中的一把剑，这把剑好不好用是Cobra-W的事，如何使用是你的事，希望能有更多的人参与到Cobra-W的变化中来...
请使用python3.6 运行该工具，已停止维护python2.7环境
眼镜蛇
GitHub（预）发布 执照 建立状态 
介绍
Cobra是一种源代码安全审计工具，支持检测多种开发语言源代码中的大部分显着的安全问题和漏洞。https ://github.com/wufeifei/cobra
Cobra-W是从Cobra2.0发展而来的分支，将工具重心从重新的发现威胁转变为提高发现突破的准确率以及精度。
特色
与其他代码审核索引：
静态分析，环境依赖小。
语义分析，对防御有效性判断程度更深。
多种语言支持。
开源python实现，更容易二次开发。
与眼镜蛇
深度重构AST，大幅度减少扩展误报率。
提供更简便的从代码尺度定制审计思路的规则书写方式，更容易白帽子使用，便于扩展。
灵活的api重构，支持windows，linux等多平台。
多重语义解析，函数回溯，秘密机制，以及更多机制解释语义分析。
新增javascript语义分析，用于扫描包含js相关代码。
去做
改写grep以及find，提供更好的有意义的支持
消除不符合白帽子审计习惯的部分模式以及相关冗余代码
制定规则规则方式，改变更容易针对定制的方式（有待进一步优化）
重建AST
递归回溯变量
递归回溯自定义函数
多级函数调用
自定义类调用
未知语法待解析
添加疑似分辨率分级，部分回溯存在问题但是不能回溯到可控变量的裂缝，通过疑似突破的方式展示。
添加关于javascript的静态分析
完成针对有关于javascript的多种特殊问题
适应关于html中内联js的扫描
添加区分前端js与nodejs功能，并为node_js添加专门的扫描
未知语法待解析
完成关于java的静态分析
更新日志
changelog.md
自述文件
cobra-w
├─cobra
│  ├─core_engine
│  └─internal_defines
├─docs
├─logs
├─result
├─rules
│  └─php
├─tests
   ├─ast
   │  └─test
   ├─examples
   └─vulnerabilities眼镜蛇：核心代码目录
core_engine核心语义分析代码
internal_defines部分内置变量
docs：cobra-W文档目录
日志：扫描日志储存位置
结果：扫描结果储存位置（默认为.csv）
规则目录
测试：测试代码目录
安装
首先需要安装依赖
pip install -r requirements.txt
然后扫描测试样例查看结果
python cobra.py -t ./tests/vulnerabilities/
开发文档
开发人员
贡献者
感谢如下贡献者对本工具发展过程中的贡献：
Knownsec 404团队LoRexxar
北邮天枢Sissel
【文章来源】：

https://github.com/LoRexxar/Cobra-W