Пошаговое руководство по настройке и использованию CodeWarrior для SAST

Дата: 16.02.2021. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Пошаговое руководство по настройке и использованию CodeWarrior для SAST

В этой статье представлено пошаговое руководство по установке и использованию CodeWarrior для SAST. Читатели смогут увидеть практический пример инсталляции данного инструмента.

CodeWarrior – это инструмент для SAST (Static Application Security Testing), поддерживающий несколько языков программирования, таких как C, C#, PHP, Java, Ruby, ASP и JavaScript для выявления различных уязвимостей в безопасности. Программа доступна для работы на системах Linux OX, BSD и macOS. Пользователям не нужно устанавливать инструмент на саму машину, достаточно просто скомпилировать его с помощью команды «make», чтобы открыть программу после завершения загрузки.

Кроме того, поскольку это веб-приложение, Apache не требуется. После запуска программы пользователю будет предложено выбрать исходный код для сканирования, открыв свой веб-браузер. В сравнении с другими инструментами эта программа имеет достаточно низкий уровень ложных срабатываний.

Установка, настройка и возможности инструмента CodeWarrior

Читатели могут скачать этот инструмент с сайта GitHub. Они также способны клонировать репозиторий Git с помощью следующей команды:

git clone https://github.com/CoolerVoid/codewarrior.git 

cd CodeWarrior 

$ make 
Пошаговое руководство по настройке и использованию CodeWarrior для SAST

CodeWarrior работает по протоколу HTTPd с TLS и использует принцип KISS. Это принцип проектирования, который гласит, что системы работают лучше всего, если они просты, а не усложняются нарочно.

  • Для компиляции CodeWarrior нуждается в предустановленном «gcc». Если он не установлен, пользователю необходимо ввести эту команду:
sudo apt-get install gcc 
Пошаговое руководство по настройке и использованию CodeWarrior для SAST

После загрузки репозитория человеку нужно будет скомпилировать его с помощью команды «make». Пользователь открывает загруженный файл (bin/warrior).

Пошаговое руководство по настройке и использованию CodeWarrior для SAST

Теперь стоит перейти по следующему адресу https://127.0.0.1:1345/index.html в браузере.

Пошаговое руководство по настройке и использованию CodeWarrior для SAST

Далее нужно предоставить читателям небольшое руководство по настройке инструмента:

  • Пользователь протестировал этот инструмент на репозитории, содержащем неполный и уязвимый код. Следует нажать сюда, чтобы скачать его.
  • Используется команда «git clone» для клонирования этого репозитория в систему пользователя.
  • После клонирования репозитория человек открывает свой браузер и вводит путь, по которому репозиторий будет сохранен в его системе.
  • Репозиторий содержит PHP-код. Нужно выбрать опции «PHP Common fails» в модуле и «.php» в расширении.
  • Человек нажимает на кнопку «Start». Ему будут показаны возможные уязвимости с конкретным описанием каждой находки.
Пошаговое руководство по настройке и использованию CodeWarrior для SAST

Каталоги

  • web/ = локальные источники JavaScript, html и CSS;
  • src/ = исходный код C (веб-сокет);
  • eggs/ = внешние модули для поиска кода с помощью регулярных выражений;
  • whitelist.conf = список IP-адресов, имеющих доступ к серверу HTTPd;
  • bin/ = файлы, которые следует открыть;
  • doc/ = конструктор;
  • lib/ = внешние библиотеки;
  • cert/ = загрузка сертификатов для TLS.

Создание сертификата

Если есть необходимость создать свой собственный сертификат, следует ввести следующие команды:

cd cert 

openssl req -x509 -sha256 -nodes -days 365 –newkey rsa:2048 –keyout certkey.key -out certificate.crt 

cat certificate.crt certkey.key > certkey.pem 

cd ..

Заключение

Если есть ошибка возврата, то это означает, что порт уже используется. Его можно закрыть с помощью команды:

$ fuser -k n tcp 4444 
  • Следует использовать браузер Chrome для запуска приложения.
  • Пользователь применяет данные 127.0.0.1, не используя имя localhost.
  • Если человек столкнулся с проблемой в процессе компиляции, то необходимо искать генерируемую ошибку.
  • В большинстве случаев необходимые библиотеки не предустановлены, из-за чего часто возникают проблемы при компиляции.
Пошаговое руководство по настройке и использованию CodeWarrior для SAST

К примеру, библиотека для OpenSSL не была установлена заранее. Итак, чтобы исправить данную ошибку, вводят следующую команду:

Автор переведенной статьи: Sudhansu Shekhar.

Игорь Б

Об авторе Игорь Б

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *