文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何使用TrojanSourceFinder检测Trojan Source算法漏洞

2024-12-02 08:44

关注

关于TrojanSourceFinder

TrojanSourceFinder是一款功能强大的漏洞检测工具,该工具可以帮助广大研究人员检测源代码中的Trojan Source算法漏洞。

Trojan Source漏洞将允许攻击者隐藏恶意代码,并将恶意代码转换为看似无害的代码。一般来说,攻击者会试图通过将其恶意代码作为注释(视觉上的掩饰)来欺骗用户。这是一种非常严重的安全威胁,因为这个漏洞将影响多种编程语言,一般带有多个“不受信任”的第三方源码的项目都需要注意这种漏洞的影响。

工具安装

使用Go安装

通过“go install”:

go install github.com/ariary/TrojanSourceFinder/cmd/tsfinder@latest

注意:需要确保“$PATH”环境变量中已设置了“$GOPATH”。

源码安装:

git clone https://github.com/ariary/TrojanSourceFinder

cd TrojanSourceFinder

make before.build

make build.tsfinder

如果命令“make build.tsfinder”失效的话,可以尝试下列命令:

env GOOS=target-OS GOARCH=target-architecture

go build -o tsfinder cmd/main.go
使用curl安装

安装发布版本:

curl -lO -L https://github.com/ariary/TrojanSourceFinder/releases/latest/download/tsfinder && chmod +x tsfinder

检测Trojan Source漏洞

该工具可以帮助广大研究人员通过手动代码检测或使用CI/CD管道(Unicode双向字符)检测Trojan Source漏洞。

检测文件或目录中的Trojan Source漏洞:

tsfinder [path]
检测文本文件

一般来说,源码文件都是文本文件,提取数据出来并进行扫描将有助于排除假阳性:

tsfinder -t [path]

注意:添加“-v”参数可以查看扫描跳过的文件。

其他选项

扫描所有的文件并显示相关代码行:

tsfinder -v

grep one-liner:

grep -arE $'(\u2066|\u2067|\u2068|\u202A|\u202B|\u202D|\u202E|\u202C|\u2069|\u200E|\u200F|\u061C|\u2066|\u2067|\u2068)'

仅扫描人类可读的文件:

tsfinder -t

grep one-liner:

grep -IrE $'(\u2066|\u2067|\u2068|\u202A|\u202B|\u202D|\u202E|\u202C|\u2069|\u200E|\u200F|\u061C|\u2066|\u2067|\u2068)'

工具使用演示

项目地址

TrojanSourceFinder:【​​GitHub传送门​​】

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯