Dependency-Check是OWASP(Open WebApplication Security Project)的一个实用开源程序,用于识别项目依赖项并检查是否存在任何已知的,公开披露的漏洞。我们可以使用这个应用来进行相关依赖包的扫描。
https://github.com/dependency-check-team/dependency-check
有两种扫描方式,应用扫描和插件扫描
参考:https://www.jianshu.com/p/3af30f4b73f2
应用扫描
1、扫描工具使用
依赖包扫描工具.zip
bin 目录为执行脚本
scan 目录为扫描目录
out 目录为报告输出目录
将要扫描的项目文件放到scan目录,执行bin目录下 启动 - 不扫描js.bat,到out目录查看生成的报告。可以扫描jar、dll的漏洞
2、扫描js使用方法
使用 启动 - 扫描js.bat ,可以扫描js、jar、dll的漏洞
注意事项:js的漏洞档案文件经常下载不了,会报错。此时可以把 data 目录下的 jsrepository - bak.json 文件的内容复制到 jsrepository.json ,即可以扫描。
不要重命名 jsrepository - bak.json 文件,文件修改日期不是当前日期还是会执行更新过程。
3、修复漏洞可能需要用到的网站:
漏洞库:
OSCS:https://www.oscs1024.com/hl
阿里云:https://avd.aliyun.com/
jar包版本库:
mvnrepository:https://mvnrepository.com
nexusrepository:https://maven-us.nuxeo.org/nexus/