Java 代码审计 idea 插件

工具介绍

Java 代码审计 idea 插件

• inspectorz 为 idea 静态代码扫描插件，可一键搜索出所有 sink 点
• 在原有基础上，修改了一些代码逻辑，sink 点更加全面
• 补充添加了多个规则，例如补充了文件读取、文件写入、反序列化等风险点的检测规则，添加了权限绕过、rpc 调用等风险点的检测规则
• 原作者 KimJun
• 原版插件链接
• https://github.com/KimJun1010/inspector

工具安装

• 依次打开
• 设置 -> 插件 -> 本地安装

• 选择下载的 jar 文件即可

使用

• 反编译后，右键反编译后的文件夹，进行一键静态扫描

• 可以把除了插件外的选项都取消勾选

• 配置好后，针对反编译后的文件夹，进行扫描即可

• 也可根据在人工审计的时候，高亮显示风险点，协助审计
• 例如依据 web.xml 中的配置，跟进后可看到高亮显示的风险点

优化点

• 在原项目基础上，添加的一些规则
• 例如
• 文件操作类

• 权限绕过类

• rpc 调用类

工具获取

https://github.com/prepar-z/inspectorz/tree/main

文章来源：夜组安全

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END