資訊專欄INFORMATION COLUMN
摘要:剛剛把環(huán)境搭建好了。。。我今天大概就做了以下幾步。命令行庫數(shù)據(jù)庫項目反正我明白了,他們說的那個其實可以不用管,自己就有庫可以直接下載用使用過程首先利用編譯源碼生成一個數(shù)據(jù)庫自己寫查詢語句利用庫進行查詢得出查詢結(jié)果
剛剛把環(huán)境搭建好了。。。搭建環(huán)境永遠是最討厭的一步
如果你只是想看看codeql運行起來有什么效果 ,怎么運行,大概怎么使用。那么我建議你打開這個公共課程
CodeQL U-Boot Challenge (C/C++) | GitHub Learning LabLearn to use CodeQL, a query language that helps find bugs in source code. Find 9 remote code execution vulnerabilities in the open-source project Das U-Boot, and join the growing community of security researchers using CodeQL.https://lab.github.com/githubtraining/codeql-u-boot-challenge-(cc++)只要有g(shù)ithub賬號就可以開始學(xué)習(xí)了,它會一步步帶你做完這個過程的。
我今天大概就做了以下幾步。(全程在ubuntu上 )
1.安裝vscode vscode直接下載安裝很慢,需要修改下載前綴 下載完使用命令行解壓 打開vscode命令是code
2.下載codeql命令行(對應(yīng)linux版本) 下載起來也是慢的要死,然后找第三方網(wǎng)站下載成功。
?? 下載完成以后解壓然后將路徑添加到PATH里 然后命令行使用codeql能不能用
3.下載codeql庫
4.下載codeql u-boot這個項目和它的數(shù)據(jù)庫(已經(jīng)經(jīng)過codeql數(shù)據(jù)庫) (git clone很慢的話就直接下載.zip吧)
5.打開vscode 下載codeql插件 下載好以后 把codeql cli 路徑填進去(可執(zhí)行文件路徑)。然后把codeql庫導(dǎo)入,然后把codeql u-boot添加到workpalce (add folder to workplace)
6.添加u-boot已經(jīng)編譯好的數(shù)據(jù)庫
7.可以使用查詢了 并且顯示查詢結(jié)果
如圖所示 這就是經(jīng)過codeql查詢以后顯示的 u-boot項目漏洞和污點追蹤流程
如果不明白可以看:CodeQL 環(huán)境搭建 - 簡書
下面這些鏈接如果錯了也很正常。。。。。反正我成功了。
命令行codeql:GitHub - github/codeql-cli-binaries: Binaries for the CodeQL CLI
codeql庫:https://github.com/github/codeql
uboot數(shù)據(jù)庫:https://downloads.lgtm.com/snapshots/cpp/uboot/u-boot_u-boot_cpp-srcVersion_d0d07ba86afc8074d79e436b1ba4478fa0f0c1b5-dist_odasa-2019-07-25-linux64.zip
uboot項目:https://codeload.github.com/AlphaGir/codeql-uboot/zip/refs/heads/main
反正我明白了,他們說的那個vscode-starter其實可以不用管,codeql自己就有庫可以直接下載用
codeql 使用過程 首先利用codeql編譯源碼 生成一個數(shù)據(jù)庫 ->自己寫查詢語句利用codeql庫進行查詢->得出查詢結(jié)果
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/121749.html
摘要:一背景筆者此前錄制了一套的視頻教程,在漏洞案例一節(jié)中講解手工挖掘工具挖掘代碼審計三部分內(nèi)容準(zhǔn)備將內(nèi)容用文章的形式再次寫一此前兩篇已經(jīng)寫完,內(nèi)容有一些關(guān)聯(lián)性,其中手工挖掘篇地址為快速找出網(wǎng)站中可能存在的漏洞實踐一本文主要記錄通過代碼審計的方式 一、背景 筆者此前錄制了一套XSS的視頻教程,在漏洞案例一節(jié)中講解手工挖掘、工具挖掘、代碼審計三部分內(nèi)容,準(zhǔn)備將內(nèi)容用文章的形式再次寫一此,前兩篇...
摘要:在代碼審計中,按業(yè)務(wù)流程審計當(dāng)然是必須的,人工的流程審計的優(yōu)點是能夠更加全面的發(fā)現(xiàn)漏洞,但是缺點是查找漏洞效率低下。代碼審計學(xué)習(xí)之旅總有人問我代碼審計該怎么學(xué)習(xí),該從哪學(xué)習(xí),現(xiàn)在統(tǒng)一回復(fù),表示我也不知道。。。 在代碼審計中,按業(yè)務(wù)流程審計當(dāng)然是必須的,人工的流程審計的優(yōu)點是能夠更加全面的發(fā)現(xiàn)漏洞,但是缺點是查找漏洞效率低下。如果要定向的查找漏洞,逆向跟蹤變量技術(shù)就顯得更加突出,如查找X...
摘要:作者我們很高興地宣布,最近接受了由基金會資助的安全評估。審計員設(shè)法覆蓋了與軟件系統(tǒng)主存儲庫相關(guān)的所有方面的廣泛覆蓋范圍。這次由基金會資助的評估,結(jié)果證明了數(shù)據(jù)庫縮放器是安全可靠的。 作者:Adrianna Tan showImg(https://segmentfault.com/img/bVbpJNB?w=2868&h=1361); 我們很高興地宣布,Vitess最近接受了由CNCF/...
摘要:作者我們很高興地宣布,最近接受了由基金會資助的安全評估。審計員設(shè)法覆蓋了與軟件系統(tǒng)主存儲庫相關(guān)的所有方面的廣泛覆蓋范圍。這次由基金會資助的評估,結(jié)果證明了數(shù)據(jù)庫縮放器是安全可靠的。 作者:Adrianna Tan showImg(https://segmentfault.com/img/bVbpJNB?w=2868&h=1361); 我們很高興地宣布,Vitess最近接受了由CNCF/...
閱讀 576·2023-04-26 01:42
閱讀 3222·2021-11-22 11:56
閱讀 2392·2021-10-08 10:04
閱讀 836·2021-09-24 10:37
閱讀 3125·2019-08-30 15:52
閱讀 1732·2019-08-29 13:44
閱讀 472·2019-08-28 17:51
閱讀 2141·2019-08-26 18:26
