漏洞挖掘相关资料及项目
代码审计
5) Learn-Java-Deserialization-Vulnerability
14) shiftleft java web 漏洞的一些描述和demo
22) 由JNDI注入引发的Spring Framework反序列化漏洞
23) Spring Deserialize RCE(JNDI Inject)
自动化代码审计
1) java反序列化利用链自动挖掘工具gadgetinspector源码浅析
2) 软件测试论文集合:linux内核、物联网、静态二进制分析 ...
3) Awesome-Fuzzing: 各种模糊测试相关文档、视频、工具资料集合
7) 计算机安全期刊:Wasmati:基于CPG的WebAssembly的高效静态漏洞扫描程序
12) KCon:api fuzz,流量还原,api参数还原树形图
开源的自动化代码审计项目
1) gadgetinspector: 自动发现可能的gadge
2) ShiftLeftSecurity Sast Scan
9) VulDeeLocator: 基于深度学习的细粒度 c/c++ 漏洞检测器
10) codeql: github 官方的基于抽象语法树 AST 的静态代码分析项目
11) joern: 基于代码属性图 cpg 的静态代码分析工具
12) Vulnerability_Scanner: 基于机器学习的C++ 漏洞扫描器
13) sanitizers: google 官方动态程序检测项目
14) Nettacker: owasp 官方黑盒漏扫,自动收集信息、扫描漏洞
15) FUNDED: 使用图形神经网络和开源存储库来检测代码漏洞
16) Devign: 通过图神经网络学习全面的程序语义,有效识别漏洞
18) SySeVR: 基于深度学习的c/c++漏洞检测框架
19) VulDeePecker: 基于深度学习的源代码漏洞检测系统
21) VulnerabilityDetection: 基于深度神经网络的 python 源代漏洞检测
22) clang-analyzer: Clang C、C++ Objective-C 静态源代码分析工具
24) facebook infer: java, c/c++ 源码分析
26) Terrascan : 基础设施即代码的静态代码分析器
27) mobsfscan: Java, Kotlin, Swift, Objective C 扫描器
31) analysis-tools-dev 的静态源码分析工具
32) VulHunter : 基于多实例学习和机器学习的以太坊智能合约检测
33) wasmati: 基于CPG 的c/c++ 的 WebAssembly 静态漏洞扫描器
35) SCVDT: 提供易受攻击的代码数据库、Java和C/C++程序的漏洞检测服务等安全服务。
40) bugscam 基于IDA Pro idc脚本机制的轻量级的漏洞分析工具
43) 鹏 RocB - Java代码审计IDEA插件 SAST
商业化闭源自动化代码审计项目
1) Scitools: 静态源码分析工具,生成代码相关图、自动化检测代码问题
3) 奇安信代码卫士:静态应用程序安全测试 gitee 集成
靶场项目
1) WebGoat 8 : owasp 官方靶场,xss、xxe、ssrf、sql注入、json反序列化、路径穿越、csrf、反序列化漏洞
2) benchmark : owasp 官方靶场,命令注入、ldap注入、路径穿越、xss、sql注入、xpath注入
3) WebBug: sql注入、xss、csrf、文件上传、不安全的直接对象引用...
5) java_vuln_code: xss、xxe、ssrf、sql注入、url重定向、文件上传、命令注入、路径穿越、IODR、fastjson
6) Java-SSM-Loophole-Range: 文件上传、xxe、xss、SQL注入、ssrf
7) SecExample:命令注入、SQL注入、xss、csrf、fastjson反序列化
8) micro_service_seclab:SQL注入、rce、FastJson反序列化、ssrf、xxe
9) Java-Vulnerability-Demo:log4j、shiro、fastjson
10) svja:DOS、csrf、反序列化漏洞、日志注入、条件竞争、xss
11) java-sec-code:命令注入、文件上传、反序列化、fastjson、log4j、ssrf、ssti、xss、xxe、xstream、jsonp、sql注入...
12) javulna:文件、ldap、反序列化、xss、xml
13) CSecGoat:命令执行、反序列化漏洞、任意文件读取、groovy exec、ssrf、XXE、sql注入、url重定向、xss
14) VulnerableApp: OWASP VulnerableApp 项目,文件上传、SQL注入、xss、xxe、ssrf、路径穿越、命令注入
15) Java_Vulnerability_Code_Demo:命令注入、反序列化、文件上传、ldap注入、xpath注入
17) JavaVulnerabilityLabE:xpath注入、xxe、sql注入
4) race-condition-vulnerability
React
Typescript
Django
Laravel
Facebook
Microsoft
Google
Alibaba
D3
Tencent