Cobra简介
Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码中的大部分显著的安全问题和漏洞。Cobra-W是从Cobra2.0发展而来的分支,将工具重心从尽可能的发现威胁转变为提高发现漏洞的准确率以及精度。
Cobra特点
与其他代码审计相比:
- 静态分析,环境依赖小。
- 语义分析,对漏洞有效性判断程度更深。
- 多种语言支持。
- 开源python实现,更易于二次开发。
与Cobra相比:
- 深度重写AST,大幅度减少漏洞误报率。
- 提供更易于从代码层面定制审计思路的规则书写方式,更易于白帽子使用,易于拓展。
- 底层api重写,支持windows、linux等多平台。
- 多层语义解析、函数回溯,secret机制,新增多种机制应用于语义分析。
项目地址
项目目录
cobra-w
├─cobra
├─docs
├─logs
├─result
├─rules
│ └─php
├─tests
├─ast
│ └─test
├─examples
└─vulnerabilities- cobra: 核心代码目录
- docs: cobra-W文档目录
- logs: 扫描log储存位置
- result: 扫描结果储存位置(默认为.csv)
- rules: 规则目录
- tests: 测试代码目录
下载与使用
安装所需要的依赖
pip install -r requirements.txt
然后扫描测试样例查看结果
python cobra.py -t ./tests/vulnerabilities/
可以从测试文档中看到有不少的漏洞披露!
