「开源资讯」陌陌安全团队开源Java静态代码审计插件

剪发的Tony 2020-10-15 09:33:10 ⋅ 678 阅读

image.png 陌陌安全本次开源的Java静态代码安全审计插件,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。 此插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。

此插件利用IDEA原生Inspection机制检查项目,和Intellij IDEA 开发工具集成,自动检查当前活跃窗口的活跃文件,检查速度快,占用资源少。插件提供的规则名称均以"Momo"开头。在IDEA插件市场搜索"immomo"安装。

支持多项式拼接型SQL注入漏洞,占位符拼接型SQL注入漏洞,Mybatis注解SQL注入漏洞,Mybatis XML SQL注入漏洞,Fastjson反序列化风险,Jackson反序列化风险等等。

MOMO Code Sec Inspector

从SDL到DevSecOps,软件研发过程一直在追求最大限度地提高软件交付的质量和速度,而安全“左移”在其中显得尤为重要。尽早进行安全检测不仅有利 于降低安全风险,更能够降低漏洞修复成本。

陌陌安全在实践中发现,绝大部分Web安全漏洞源于编码,更应止于编码。因此,安全组针对公司内部广泛使用 Intellij IDEA 开发工具自主研发静态代码安全审计插件(MOMO Code Sec Inspector),以此辅助研发同学在编码过程中发现潜在的安全风险,并为其提供漏洞一键修复能力。

效果演示

演示一:XXE漏洞发现与一键修复 img-c1865aee-dbd1-3b9d-b9b2-c1dc1b39bf1d.gif

演示二:Mybatis XML Mapper SQL注入漏洞发现与一键修复 img-64bc984e-4c07-3b90-8dce-986d31ce175e.gif

安装试用

本插件已登录Jetbrains插件市场,在Intellij IDEA插件市场中搜索 immomo并安装即可。 img-78c6ae80-b894-344e-bc8d-51c0d657a947.jpeg

插件规则

开源版本目前包含以下规则。 image.png

开源地址

https://github.com/momosecurity/momo-code-sec-inspector-java image.png


全部评论: 0

    我有话说:

    开源推荐」Nginx可视化配置工具—NginxWebUI,小白也可以玩转

    包括http协议转发, tcp协议转发, 反向代理, 负载均衡, ssl证书自动申请、续签、配置等

    微型Java开发框架Solon 1.1发布,QPS达10万+

    简介 Solon 是一个微型的Java开发框架。项目从2018年启动以来,参考过大量前人作品;历时两年,2700多次的commit;内核保持0.1m的身材,超高的Web跑分,良好的使用体验

    开源资讯」ShopXO 开源商城,批量导入淘宝、天猫商品发布

    最近在OSCHINA上看到有博主开源了全套的商城源码

    京东技术:开发属于自己的 | IDEA & Android Studio开发指南

    是否曾经被ide重复繁琐的操作所困扰,又或者没有心仪的UI控而难受。那么请阅读这篇文章,掌握idea开发流程,开发属于自己的,造福开源社区。

    HashiCorp开源Boundary:安全访问动态主机服务

    HashiCorp 宣布开源 Boundary,此项目可帮助运维人员及从业者通过细粒度的授权安全地访问动态主机和服务,无需管理凭据或公开网络。 Boundary 旨在使用最小特权原则 (POLP

    开源资讯」Guava 28.2 发布,Google 的 Java 核心工具库

    前言 Guava 28.2 发布了,Guava 是 Google 的一个开源项目,包含许多 Google 核心 Java 常用库,如:集合 [collections] 、缓存 [caching

    Google 宣布正式开源 Jib ,帮助 Java 应用快速容器化

    Google 本周宣布开源一款新的 Java 工具 Jib ,旨在让开发者使用他们熟悉的工具更轻松地将 Java 应用程序容器化。

    安全攻防系列一 安全基础概念

      该系列记录学习极客时间–安全攻防技能30讲相关内容 安全的本质 安全的本质就是保护数据被合法地使用。 数据:应用最核心的东西;如用户信息、订单信息等等 合法:大到法律法规、业务

    GitHub精选:2018年11月份最热门的Java开源项目

    又到了揭晓 11 月份最热门 Java 开源项目排名的时候了,在本月的名单中,出现了几个新面孔,如Java 核心知识库、轻量级容错组件Resilience4j .....

    开源推荐】基于 Go 语言的轻量级高性能日志库 logit使用及测评

    logit 是一个简单易用并且是基于级别控制的日志库,可以应用于所有的 GoLang 应用程序中。

    蚂蚁金服 Java RPC 开源框架—SOFARPC

    SOFARPC 是一个高可扩展性、高性能、生产级的 Java RPC 框架。

    开源资讯」Kooteam 0.9.1 发布,新一代轻量级团队协助系统

    Kooteam 是一款轻量级的在线团队协作工具,提供各类文档工具、在线思维导图、在线流程图、项目管理、任务分发等工具,并接入了企业微信,钉钉开放平台,使用便捷高效。

    Java Web实战篇-代码之美

    代码之美-小小的优化让你的代码Bug更少,执行效率更高

    Fizz Gateway 1.1.1 发布,基于 Java异步框架WebFlux开发的微服务网关

    Fizz Gateway 是一个基于 Java异步框架WebFlux开发的微服务网关,能够实现热服务编排、自动授权选择、线上服务脚本编码、在线测试、高性能路由、API审核管理等目的,拥有强大的自定义

    精品推荐:一览GitHub上最受程序欢迎的5大Java开源项目

    列举了GitHub上一些最流行的Java项目。从Mockitos到Guava,以及 java-design-patterns等供大家学习。

    开源资讯」JPress v3.2.1 发布,新增模板预览功能

    JPress 是一个使用 Java 开发的类似 WordPress 的产品,具有完善的模板和功能,并在此基础上新增了在线商城、会员中心以及和微信深度整合的功能。

    WebMIS 1.0.0 beta.3 发布,全栈开发基础框架

    全栈开发基础框架,包括 PHP / Python / SpringBoot / Phalcon / Flutter / NodeJS / Vue / Swoole / Redis / API 等技术