代码扫描
原创 Yak Yak Project 2024-11-01 17:30
代码审计功能
代码审计功能:项目管理
点击代码审计功能会进入到项目管理页面, 在此页面将会展示已编译的所有项目,可以在操作中选择跳转到代码扫描页面或代码审计页面。
在此页面也可以在右上角开始编译新的项目,将会在编译完成以后自动跳转到代码审计页面:
代码审计页面如下:
可以看到类似之前的yakRunner内的代码扫描功能,调整了下文件系统和代码审计框的布局。
代码扫描页面
点击代码扫描功能,可以使用内置规则对已编译项目进行代码扫描:
开始扫描
- 在页面左侧为规则选择页面,目前支持内置规则和内置规则分组。
内置规则正在持续更新。接下来也会开放用户自定义规则、自定义规则分组的功能。
- 在页面中间可以通过下拉框选择已编译的项目,也可以通过右上角添加项目进行编译。
扫描进度
在选中规则以及项目以后可以开始扫描:
将会显示以下信息:
-
执行进度:
-
已经执行结 束的规则和总规则数
-
规则和项目都是会指定编程语言的,语言不匹配将会跳过该规则,将会展示跳过的规则数量。
-
当前执行规则的规则名
-
执行状态:
-
执行成功个数和失败个数。
-
一般失败是因为执行或执行结果的保存失败,可以在日志中观察到失败的规则和其原因
在表格中,将会展示审计结果和漏洞风险。
审计结果
审计结果默认仅展示风险个数大于0的审计结果。在扫描执行结束以后可以手动取消选中查看全部的规则,也可以对表内的等级等信息进行筛选。
表中的每一项都是一次审计的结果。其中出现风险个数的是有意义的审计结果。其中的每一项都可以查看信息:
-
操作中的终端图标将可以直接跳转到代码审计页面打开整个项目查看相关信息。
-
操作中的➡️图标将会用侧边栏打开并展示相关信息,此时也可以跳转到代码审计页面查看项目。
相关的操作与代码审计页面一致,查看审计的结果,审计的路径以及过程图。
值得注意的是如果当前展示的审计结果有相关漏洞与风险信息的话将会标注漏洞风险的bug图标,点击可以查看对应的漏洞风险信息。
漏洞与风险
漏洞与风险的数据展示如下:
和之前的漏洞与风险同样的操作逻辑,点击将会显示漏洞与风险信息。
但同时,右侧将会显示该漏洞与风险的对应代码。点击相关代码段可以展开显示代码内容,点击右侧终端图标将会跳转到代码审计页面自动打开对应的代码查看详情。
代码扫描产生的漏洞与风险同样被保存在全局,如下图所示,将会在yakit顶栏出现通知,并且可以在全局数据库内看到: