开启邀请码注册中,禁止灌水!发现一次永久禁言

墨客安全网

 找回密码
 立即注册

墨客安全网-新手入门指南 常见问题及帮助 | 做任务赚墨币币 新人报道 | 悬赏问答| 墨币充值| 帖子举报

墨客安全网-论坛精华合集 墨客安全网 -精华合集 之 速成之路 原创精品 | 加入墨客Vip | Vip工具| Vip教程

墨客安全网-进阶技术学习区 软件/工具| 社工专区 | 入侵检测| 技术文章 动画教程 | 编程交流| 免杀更新 | 程序源码

[悬赏公告] - 严查灌水,打造一个无水论坛,从即日起.请大家互相监督,发现恶意灌水的,请发贴举报,核实后会给予5-10的墨币奖励。
[官方公告] 从今日起所有会员发布工具必须到审核板块进行审核,如有违反永久禁言处理!
 [招聘招聘]-招聘各方面给力版主,要求每日发帖不少于3贴,每天在线时间6个小时以上,具体福利和待遇联系TG客服或者在线管理员
[官方公告]1.发现网盘下载地址失效!可以发贴举报 审核证实后给予奖励10-20墨币。2.即日起!不管是谁发贴!都不能带QQ群 已及个人QQ。个人网站,发现后严格处理。[官方业务]-加入墨客安全网Vip,圆你日抓千鸡梦,各种精品教程,免杀远控,压力测试等你拿,期待各位会员的加入,即可享受众多福利!
【官方公告】论坛所有广告均为商业行为,需要交易的请尽量走担保程序,所有因广告产生的任何纠纷请私下解决【站外广告】大量收色刷!刷单肉鸡!带飞机肉鸡!寻内网横向技术!懂的来,小白勿扰!长期包养色刷,刷单,带飞机海外盘国内盘灰产肉鸡稳定鸡商
联系飞机:@seeok91
【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服
查看: 172|回复: 0

[电脑|服务器知识] Android Studio源码扫描工具:Code Arbiter(转发)

[复制链接]
  • TA的每日心情

    2018-5-16 05:24
  • 签到天数: 16 天

    连续签到: 1 天

    [LV.4]偶尔看看III

    14

    主题

    334

    回帖

    1539

    积分

    UID
    1497
    威望
    509 (点)
    主题
    14 (帖)
    精华
    0 (帖)
    贡献
    26  (次)
    墨币
    147  (枚)
    活跃
    255  (点)
    担保币
    0  (枚)
    注册时间
    2015-11-7
    最后登录
    2018-5-16
    发表于 2017-9-21 10:40:21 | 显示全部楼层 |阅读模式
    本帖最后由 素体 于 2017-9-21 10:42 编辑

    目前Android应用代码漏洞扫描工具主要是在应用打包完成后,对应用进行解包扫描。而专门针对Android Studio中的源码进行漏洞扫描的工具则较少,且覆盖的漏洞种类不全,很难满足安全检测的需求,Android Code Arbiter就是为弥补上述缺陷而产生的。该工具依托FindBugs插件,根据Find Security Bugs为蓝本进行更改,以扩展jar包的形式在FindBugs上运行。

    1、概述

    该文章主要是针对工具的使用进行详细的说明,关于工具原理的说明可参见另一篇文章:Android Code Arbiter原理详解,该文章详细叙述了工具的扫描原理。

    工具源码地址,打包好的jar包地址:Android-Code-Arbiter-0.8.3.jar,工具的整体架构详见下图。

    2、使用指南2.1 安装FindBugs插件

    由于该工具以FindBugs为依托,因此首先需要在Android Studio中安装FindBugs的插件。在Android Studio中找到Preferences/Plugins选项,在该复选框中通过上方搜索,或将FindBugs插件下载到本地(下载地址:FindBugs-IDEA),使用 Install plugin from disk进行安装。建议将插件下载到本地进行安装,通过搜索进行安装的插件可能版本比较陈旧,安装示意图如下所示。安装完成后需要重启Android Studio。

    2.2 安装Android Code Arbiter插件

    完成FindBugs插件后,将会在Preferences/Other Settings中找到安装插件的选项FindBugs-IDEA,点击中测靠左的 + 号,在弹出的选框中选择 4.Install plugin from disk,在弹出的选框中选择下载的Android Code Arbiter的jar包,点击OK,此时会发现插件已经安装了,但是不要忘记点击右下角的Apply按钮,然后点击OK,并重启Android Studio完成插件安装。安装部分示意图,如下所示。

    3、扫描

    完成安装后就可以开始扫描了,右键点击待扫描项目,在出现的复选框中找到FindBugs,在弹出的选项中选择Analyze Project Files,此时FindBugs便会自动开始对项目进行扫描了,扫描的步骤如下图所示。

    4、扫描结果展示

    在Android Studio的下半部分就可以看到分析后的结果,在分析的问题中找到Android安全问题的选项,里面的内容就是插件的分析结果,如下图所示。

    5、干扰清除5.1 清除干扰结果

    由于Findbugs本身包含一些代码质量的分析,有时会对查看分析结果造成干扰,此时可以设置检测条目,只保留Android安全问题的展示,设置方法如下:

    在Preferences选框中找到FindBugs-IDEA选项,选择其Detector选框,只保留Find Security Bugs检测选项,设置如下图所示,这样检测结果只会出现Android相关安全问题的检测项。

    5.2 清除检测结果

    检测的结果可能存在误报,让你看起来很不舒服,此时可以手动去除检测结果。

    清除单个检测结果

    清除单个检测结果只需左击该检测项左侧对于的BUG图案,在弹出的选框中点击clear即可,如下图所示:

    清除所有检测结果

    清除所有检测结果,只需在下方的分析栏中点击左侧的 X 号即可,如下图所示:


    *本文作者:nightmarelee,转载请注明来自 FreeBuf.COM

    新人必看帖,如何快速赚取墨币,了解墨客安全网论坛版规,等等...( 点我查看

    如果你在论坛悬赏问答求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子内点击(已解决)

    发帖求助前要善用 论坛搜索 功能,如果搜不到可以试试,论坛顶上的 百度站内搜索 - 纵横站内搜索 那里可能会有你要找的答案;

    如果发现论坛有灌水帖、下载地址失效帖、后门帖、广告帖、工具不能正常使用、都可以去 举报版块 发帖举报,核实给予退回墨币+额外的墨币奖励哦;
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    1、请认真发帖,禁止回复纯表情,纯数字等无意义的内容!帖子内容不要太简单!
    2、提倡文明上网,净化网络环境!抵制低俗不良违法有害信息。
    3、每个贴内连续回复请勿多余3贴,每个版面回复请勿多余10贴!
    4、如果你对主帖作者的帖子不屑一顾的话,请勿回帖。谢谢合作!

    关闭

    站长推荐上一条 /1 下一条