侧边栏壁纸
博主头像
孔子说JAVA博主等级

成功只是一只沦落在鸡窝里的鹰,成功永远属于自信且有毅力的人!

  • 累计撰写 352 篇文章
  • 累计创建 135 个标签
  • 累计收到 10 条评论

目 录CONTENT

文章目录

IDEA检测代码漏洞插件 MOMO Code Sec Inspector 的安装配置与使用

孔子说JAVA
2022-11-11 / 0 评论 / 0 点赞 / 73 阅读 / 1,517 字 / 正在检测是否收录...
广告 广告

MOMO 安全团队认为,绝大部分 Web 安全漏洞源于编码,更应止于编码。因此研发并开源了Java静态代码安全审计插件 MOMO Code Sec Inspector,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力,以此辅助研发团队在编码过程中发现潜在的安全风险。本插件利用IDEA原生Inspection机制检查项目,自动检查当前活跃窗口的活跃文件,检查速度快,占用资源少。插件提供的规则名称均以"Momo"开头。

image-1667818232753

1、安装方式

要求:Intellij IDEA ( Community / Ultimate ) >= 2017.3

1.1 在线安装方式

第一种方式,是在IDEA上搜索插件进行安装,会适配当前IDEA的版本。打开File -> Settings 界面,在左侧列表中找到 Plugins 菜单,在右侧的 Marketplace 页签下,搜索 “immomo”,可以找到 MOMO Code Sec Inspector 插件,如下图所示,点击 Install 进行安装即可。

image-1667818287405

1.2 离线安装方式

第二种安装方式是使用离线插件进行安装。插件下载页面:https://plugins.jetbrains.com/idea ,在搜索框中输入插件名称 “immomo” 搜索,点击出现的下拉提示,即可进入插件下载页面,选择对应安装版本下载即可。

image-1667818415802

下载完成后,进入插件市场,选择本地安装

同样是在 Settings 界面,在左侧列表中找到 Plugins 菜单,在右侧的 Installed 页签右方有个齿轮图标,点击展开菜单后选择 “Install Plugin from Disk…”,此时会打开本地文件选择框,选择你下载的插件包安装即可。

安装完成后重启IDEA。

2、插件的使用

2.1 使用方法一

该插件会在您编码过程中自动扫描当前编辑的代码,并实时提醒安全风险。

2.1 使用方法二

IDEA 提供Inspect Code功能支持对整个项目/指定范围文件进行自定义规则的扫描。

image-1667818459135

3、效果展示

演示一: XXE漏洞发现与一键修复

72c2f815e7fa8f2a588890cbc8d59cea

演示二,Mybatis XML Mapper SQL 注入漏洞发现与一键修复

af07571012b8d97062e5e95fe3fe508f

4、插件规则

编号 规则名称 修复建议 一键修复
1001 多项式拼接型SQL注入漏洞 T
1002 占位符拼接型SQL注入漏洞 T
1003 Mybatis注解SQL注入漏洞 T T
1004 Mybatis XML SQL注入漏洞 T T
1005 RegexDos风险 T T
1006 Jackson反序列化风险 T T
1007 Fastjson反序列化风险 T T
1008 Netty响应拆分攻击 T T
1009 固定的随机数种子风险 T T
1010 XXE漏洞 T T
1011 XStream反序列化风险 T T
1014 脆弱的消息摘要算法 T
1015 过时的加密标准 T
1016 XMLDecoder反序列化风险 T
1017 LDAP反序列化风险 T T
1018 宽泛的CORS Allowed Origin设置 T
1019 SpringSecurity关闭Debug模式 T T
1020 硬编码凭证风险 T
1021 “@RequestMapping” 方法应当为 “public” T T
1022 Spring 会话固定攻击风险 T T
1023 不安全的伪随机数生成器 T T
1024 OpenSAML2 认证绕过风险 T T
1025 IP地址硬编码 T
0

评论区