本次环境我们选用的是最新版其他WebGoat 8，假如对WebGoat不熟悉的同学，能够参阅OWASP的官方链接。因为本次我们主要是做静态代码分析，而不是浸透检验，因此我们只需求将WebGoat 8的源代码下载下来， 并上传到“自动化安全代码检测渠道”即可。

一、从GitHub上下载WebGoat 8的源代码

下载链接为：https://github.com/WebGoat/WebGoat/releases，我们直接下载最新的源码压缩包即可：

二、下载后解压，并通过SVN上传至“自动化安全代码检测渠道”1. 铲除前期的检验代码

假如前建立环境中（包含我给我们的镜像中）都含有一个HelloWorld的源码库，因此需求删去此源码库。我们也能够从头配备SVN，但为了便于试验的便利，我们直接删去HelloWorld源码库。

删去比较简单，直接通过SVN下载本机，然后在本机上删去后再提交即可，详细步骤如下图所示：

a. 加载“自动化安全代码检测渠道” （假如镜像正常，并未开释，能够越过此操作）1、首要通过EDR上报过来的主机标识和CMDB数据库相关，得到主机归属相关信息，假如是云环境，一般通过流数据的 *** 奉告。

在阿里云上加载镜像，创建的ECS主张我们运用的配备为：2CPU、8G内存、40G硬盘、2M带宽。

小提示：主张我们用“竞价实例”，现在价格比较廉价。

b. 整理SVN中前期的HelloWorld源码

在前期本地创建的文件夹上点击右键，然后选择“SVN Update”，然后将同步好的代码悉数删去：

再在此文件上点击右键选择“SVN Commit”，选择一切文件，点击“OK”：

这样渠道上的“HelloWorld”源码将悉数删去。

2. 将我们下载的WebGoat 8源码解压到此文件夹后上传渠道

在总文件夹上点击右键选择“SVN Commit”上传：

三、更新和配备SonarQube的检测插件

WebGoat 8是Java编写的，本次试验我们运用Findbugsfor Java的插件来进行检测（插件相关阐明将会在后续文章中描述，有喜好的朋友也能够自行在互联网上搜索）。

1. 登录SonarQube

在Chrome浏览器中翻开SonarQube，并登陆：http://ip:9000

2. 选择“配备”&mdas# sysctl -a -r '^net.ipv[46].(icmp|conf.default.accept)' | cut -d= -f1net.ipv4.conf.default.accept_local net.ipv4.conf.default.accept_redirects net.ipv4.conf.default.accept_source_route net.ipv4.icmp_echo_ignore_all net.ipv4.icmp_echo_ignore_broadcasts net.ipv4.icmp_errors_use_inbound_ifaddr net.ipv4.icmp_ignore_bogus_error_responses net.ipv4.icmp_msgs_burst net.ipv4.icmp_msgs_per_sec net.ipv4.icmp_ratelimit net.ipv4.icmp_ratemask net.ipv6.conf.default.accept_dad net.ipv6.conf.default.accept_ra net.ipv6.conf.default.accept_ra_defrtr net.ipv6.conf.default.accept_ra_from_local...net.ipv6.conf.default.acce[3]终究运用以下指令设置政策IP和本地IP:pt_redirects net.ipv6.conf.default.accept_source_route net.ipv6.icmp.ratelimit h;》运用商场，并在搜索中输入“findbug”，如下图：

3. 点击“设备”

在这里直接点击设备即可，设备完结后，会提示重启服务器，点击重启等候顷刻页面从头能加载即设备完结。留意：因为 *** 的原因，可能会设备报错，只用从头点击设备按钮即可

。

 

4. 质量配备

如下图所示，把Java、 *** P相关的配备，把Findbugs设置为“默许”，这样就会运用Findbugs来进行检测：

四、构建检测使命
 1. 登录Jenkins，并构建一个Maven的使命

因为WebGoat是用Maven来创建并编写的，因此我们也要构建Maven的使命，如下图：

2. 配备使命

详细配备项如下内容：

a. General，项目名称能够不必改动：

b. 源码处理，前期我们配备过SVN，直接运用即可：

c. 在Post Step中选择“Execute SonarQube Scanner”，并做如下配备：

d. Analysisproperties内容如下：

 

sonar.projectKey=my:WebGoat # this isthe name displayed in the SonarQube UIsonar.projectName=webgoatsonar.projectVersion=1.3.12# Path isrelative to the sonar-project.properties file. Replace "" by"/" on Windows.# SinceSonarQube 4.2, this property is optional if sonar.modules is set.# If notset, SonarQube starts looking for source code from the directory containing# thesonar-project.properties file. sonar.sources=.sonar.java.binaries=. #Encoding of the source code. Default is default system encoding#sonar.sourceEncoding=UTF-8

e. 点击“保存”后，开端构建：

 

留意：之一次构建时刻较长，可在console界面中查看进程：

完结后，会在console界面中显现“success”的提示

五、在SonarQube中分析查看成果
 

翻开SonarQube中的成果，将会看到相关的缺点，如下图所示：

 

后续我们将针对WebGoat这个事例进行源码缺点分析，可加笔者微信（fantastic103）拉入评论群，继续重视和评论。需求此事例镜像的同学可发邮件至 tangjf10@aliyun.com索要。

称谢：

本渠道检验和建立进程中得到了北京理工大学计算机学院计卫星教授 、研究生高志伟以及“滇峰技能”团队的大力协助和支撑，在此表示感谢。

*本文作者：hjy103，转载请注明来自 FreeBuf.COM

黑客基础:根据SonarQube的自动化代码缺点检测：WebGoat实战（一）

#include

在这篇文章中，我们将深化分析近期批改的一个Win32k缝隙（CVE-2019-0808），因为此前有许多 *** 犯罪分子会运用该缝隙并结合缝隙CVE-2019-5786来组成无缺的Google Chrome沙盒逃逸侵犯链。var querystring = require('querystring');基于SonarQube的自动化代码缺陷检测：WebGoat实战（一）

黑客基础0×02 看瞎双眼· 631(ipp)但是，暗码重置选项引起了我的喜好——如安在系统上查看代码？是否能够在本地生成它？为了找到这个答案，我需求设备上的二进制文件。走运的是，一旦具有处理员暗码，就能够轻松获得对设备的root访问权限：您只需将一个PUT央求发送到/ISAPI/System/Network/telnetd的端点，并运用以下数据：

EXEC sp_addextendedproc Sp_OACreate ,@dllname =’odsole70.dll’底子插件模块$ sudo python install.py黑客基础

我想检验一下特斯拉ModelS、本田City2017，或是三菱MonteroSport2017，希望我有机会在本年的DEFCON上对展示车辆的表面板或信息文娱系统上手检验一番。其他，我还需求点现金，终究车可不廉价……所以我觉得仍是借朋友的车来检验一下好了。

添加用户TOKENS

[...]* Domain : SUPERCOMPANY我对他们的免费版在iPhone上常常远程访问公司专有 *** ，运用的是WiFi *** ，操控领会很不错。但是Splash Streamer不是免费版别需求收费，解决 *** 是联接公司VPN后便能把需求访问的远程电脑识别为局域网电脑然后进行访问。基于SonarQube的自动化代码缺陷检测：WebGoat实战（一）

黑客基础Google、百度优先收录HTT

PS站点、页面。手贱的同学能够虽然在虚拟机里试试：图C：陈说的假文件。设置防暴力破解

虚拟空间的创建可选择“简略空间”、“镜像空间”和“奇偶校验空间”三种不同方式。“简略空间”首要用来进步软件功用，存储软件临时文件最为适合；但选用这种 *** 不会保存副本，因此无法对硬盘文件进行保护，用户要自己做好备份；创建这种类型的空间至少需求一个驱动器。“镜像空间”与“简略空间”的不同在于，它会保存副本来保护驱动器数据；又分为双向镜像和三向镜像两种，适合于备份大容量数据文件（如大容量备份包、系统映像文件等）；分别需求至少2个或5个驱动器来创建。“奇偶校验空间”为存储功率规划，适合于存储存档数据和音视频流媒体，要求至少3个驱动器来创建，适合于发烧友或企业用户运用。

2、无实体恶意代码注册表实行黑客基础

然后通过函数来选择不同的驱动器（分区），扫描这些驱动（C： D：，E：，F：，G： H：，I：，J：以及K：）在这些磁盘目录下搜索下列文件类型：.

1、已知Apple ID帐号暗码取备份文件（也能够取文件）。

基于SonarQube的自动化代码缺陷检测：WebGoat实战（一）

设备虚拟机客户东西的 *** 并没有很大改动，在最新的Vmware（Workstation和Fusion）以及VirtualBox中都能够正常作业。配备

比方说：你【每天】都回退快照，那么你在 Guest OS 里面只会留下【最多一天】的操作痕迹。这一点关于隐私保护是非常重要滴！

mta = sendmail
本文标题:黑客基础:根据SonarQube的自动化代码缺点检测：WebGoat实战（一）