前言經過相當的一段時間開發和很多通宵的優化修改,內測,這個工具總算可以把1.0版本拿出來給大家了,同時非常感謝lingview師傅讓開發得以順利,zac(點點)師傅給出了idea,并參與到優化中,非常感謝 工具亮點結合了污點分析+ast分析+AI分析(兩輪不同提示詞校驗)驗證并輸出payload 擁有在線和離線兩種模式 api調用和本地ollama調用 支持php和java的審計 以及看起來還不錯的功能優化調教 工具截圖   使用手冊左上角文件 打開文件將會導入文件夾并自動開始審計  在第三頁的設置欄我們可以選擇在線或者離線模式 在線模式的API key 和url我們比方使用deepseek https://platform./api_keys 在開放平臺創建key即可  離線模式  離線模式僅支持ollama 內部寫的也是ollama的調用 模型名稱是你的ollama list的模型 離線模式提示詞可以修改 不過這會間接導致很多問題,包括但不限于 無法正常回顯 誤報率增加 等等問題 不過改好了的話將會使誤報率大大降低 這個是我們提供的 提示詞模版: 你是一個代碼審計專家用來輔助我判斷代碼有沒有安全漏洞,你的職責是判斷我給你的漏洞有沒有可控點,我只會給你代碼你只需要回答,存在漏洞,不存在漏洞,以及無法判斷,不需要解釋!!!,不需要你給出修復 防止 等等建議只需要回答,存在漏洞,不存在漏洞,以及無法判斷這幾個選擇 總之回答的 存在漏洞,不存在漏洞,以及無法判斷 不需要解釋是核心離線模式我們不進行二次校驗,并且不推薦和建議大家去進行大項目的離線審計,只建議單代碼文件,或者較小體量進行審計,這完全是因為本地大模型GPU的局限性,此外,我們有完全離線模式就是不使用ai 純污點分析用于快速檢索排查 漏洞跳轉到代碼界面  點擊漏洞即可跳轉 這個搜索是文件內搜索  在左上角文件-->搜索是全局關鍵字搜索  獲取方式藍奏云:https://wwcl./icRyV2lkqflg 同時希望大家可以在群里反饋 讓我更好的去優化這個工具 群-聊下方二維碼添加好友,回復關鍵詞秋風代碼審計進群
|
|
|
