聚合型程式碼審計工具QingScan使用實踐

湯青松發表於2022-01-09

一、簡介

筆者最近看到很多公眾號在推薦QingScan這款掃描器平臺,也好奇了起來,花了半小時將QingScan搭建了起來;

搭建起來之後,進入控制檯中看了下QingScan的功能列表,發現除了公眾號介紹的黑盒掃描功能外其實還有不少功能,我比較喜歡的是裡面的白盒審計功能,裡面整合了fortifysemgrep河馬webshellkunlun-msonarqubePHP依賴Python依賴java依賴的掃描工具,所以寫下這篇文章跟大家分享一下~

二、功能概覽

我安裝好QingScan後,進入QingScan控制檯,最先看到的是黑盒掃描和白盒審計的統計圖,以及上方的導航欄。

2.1 圖表分析

統計圖分為了兩類,如下圖所示:

在上圖中可以看到,

第一類是白盒審計結果統計,展示了掃描結果中的高中低漏洞比例和按照日期掃描到的結果,以及按照漏洞分類統計的比例。

第二類是主機掃描的統計結果,展示了掃描出的埠比例,以及主機埠比例,還有一個應該是根據埠識別成元件的統計結果。

2.2 新增專案

我根據自己感興趣的功能,點選了導航欄上的白盒審計->專案列表->新增專案,會彈出一個新增專案的視窗,經過嘗試發現只需要填寫專案名稱和地址即可,其他都是選填項,如下圖所示

在上圖中填寫完資料後,結果會新增到專案列表,在圖中可以看到已經新增了一個專案。

三、結果分析

3.1 專案內部

新增完專案之後,在專案列表中會發現各種工具對應的數字增長了,如下圖所示

將滑鼠放到數字位置上方會看到對應工具的掃描完成時間,點選連結會跳轉到對應的工具列表,這裡就不展開說明了。

3.2 詳情頁

我惦記了檢視按鈕,發現進入了詳情頁,在詳情頁可以看到專案的一些基本資訊,以及各種工具的一部分掃描結果,如下圖所示

在上圖中可以看到基本資訊中包含了新增專案時候填寫的資訊,工具動態中的時間是指各種工具掃描完成的時間。

3.3 fortify掃描結果

往詳情頁下面可以看到fortify的部分掃描結果,如下圖所

在上圖中可以看到圖中展示了漏洞型別、危害等級、引數汙染來源、執行位置、以及稽核狀態等資訊,稽核狀態是一個下拉元件,可以直接進行稽核操作。

3.3 semgrep掃描結果

往詳情頁下滾動滑鼠,還可以看到semgrep對專案的掃描結果,如下圖所示

同樣展示了漏洞型別、危害等級、執行位置、以及稽核狀態等資訊,稽核狀態是一個下拉元件,也可以直接進行稽核操作。

3.4 依賴掃描

四、工具介紹

下面是我將QingScan的一部分介紹複製過來的

4.1 介紹

QingScan 是一款聚合掃描器,本身不生產安全掃描功能,但會作為一個安全掃描工具的搬運工; 當新增一個目標後,QingScan會自動呼叫各種掃描器對目標進行掃描,並將掃描結果錄入到QingScan平臺中進行聚合展示

4.2 線上演示

線上體驗地址:txy8g.songboy.site:8112/ 使用者名稱:admin 密碼:admin

注:線上體驗地址為功能演示,不會對目標實際掃描~

4.3 靶場系統

您在安裝之後請不要對未獲得足夠授權的目標進行掃描,同時為了讓你能夠快速上手,我們搭建了一些靶場系統授權你進行安全掃描:

  1. txy8g.songboy.site:8888/home/index.... 輕鬆滲透測試系統測試

4.4 聯絡我們


作者:湯青松

微信:songboy8888

日期:2022年1月9日

本作品採用《CC 協議》,轉載必須註明作者和本文連結

相關文章