基于Github的源码白盒扫描工具Raptor

"Raptor（猛禽）是这款应用场景WEB页面的github源码扫描枪。你只必须给它1个Github repository的网页地址详细地址，它就能开展全自动扫描仪。

简易详细介绍

你还可以在Raptor设定WEB监控器体制，在每一次开展递交或是合拼支系时，它会接到信息随后开展自动化技术扫描仪。这种扫描仪工作中是异步开展的，并且只能起动扫描仪的客户自个能够见到扫描仪結果。

Raptor的某些特点：

软件系统架构（新添加的软件能立即应用+转化成一致汇报）

WEB服务项目能够定时执行自动化技术运作（不用去miui页面实际操作）

为新的系统漏洞或是计算机语言，开展建立/编写/删掉签字的实际操作

写作者申明一下下，这一新项目是以便协助小区和初创公司开展编码检测服务，将会不容易有商业服务商品的那么的质量承诺。除此之外，这一专用工具仅仅以便给编码财务审计和产品研发工作人员出示发觉系统漏洞的突破口，因此请不必盲目跟风信赖专用工具輸出的內容。或许，当你将它添加CI/Cd（持续集成和持续交付）得话，那应当会非常好的。

这里Raptor集成化了某些软件。大家特别注意，以便适配本架构，下边至少的专用工具/控制模块/库全是被改过的：

MozillaScanJS – 扫描仪JavaScript (关键是手机客户端的Node.Js等等等等， 将来会适用谷歌浏览和Firefox软件)

Brakeman- 扫描仪Ruby Rails

RIPS - 扫描仪Python

Manitree – 扫描仪 AndroidManifest.xml等等等等

标准包：

ActionScript – 扫描仪Flash/Flex(ActionScript 2.2 & 5.0)源

FindSecurityBugs (只含标准) – 扫描仪javas (J2EE, JSP, Android, Scala, Groovy等等等等)

gitrob – 扫描仪敏感数据的泄漏(包括资格证书/配备/备份文件/私秘设定的信息内容)

安裝流程

写作者安裝时，在Ubuntu 14.04 x64 LAMP自然环境下测试通过，安装视频这里。

$ wget https://github.Com/dpnishant/raptor/archive/master.zip -O raptor.zip

$ unzip raptor.zip

$ Cd raptor-master

$ sudo sh install.sh

使用说明

应用视頻这里。

Cd raptor-master

sudo sh start.sh #starts the backendweb-service

随后我也能够浏览当地的WEB服务项目了：

.com://localhost/raptor/

登录

你能用你一直在github网络服务器上申请注册的登录名来登录，登陆密码随意键入只能（但在查询扫描仪結果的那时候，必须采用相对的登录名）。

例如，要是你一直在github.Com上申请注册了帐户foobar，我也必须用foobar这一帐户名去扫描仪github.Com上边的repos。

可是，要是你一直在个人的github网络服务器上申请注册了foobar_corp帐户，例如：

https://github.corp.company.Com/

在这时候，我也必须应用帐户foobar_corp，去扫描仪github.corp.company.Com网络服务器上的repos。

提示一下下大家，如今沒有在demo版本号中搞数据库查询，因此如今登陆密码认证的地区能够随便键入。

标准编辑器下载

你能应用系统软件内置的重量级GUI标准编辑器下载，用它来添加新的标准。或许啦，你还可以应用别的文本编辑器，由于标准包文档仅仅一般的JSON文档。实际操作时只必须开启backend/rules下边的标准包，随后将改动/增加后的标准，储存在backend/rules文件目录下边只能。简易而言，你必须做的只能小量的编写工作中。特别注意，将新的标准包的文件夹名称添加到这儿，这儿不必随身携带.rulepack的尾缀，重新启动网络服务器后就大功告成啦。

你能根据这儿的网页地址详细地址立即浏览标准编辑器下载：

.com://localhost/raptor/editrules.Python

加上标准

ignore_list.rulepack：

你能加上某些对于目录名/文件夹名称的正则匹配，防止raptor去扫某些没用的文档如jquery.mln.Js，或是去深层次扫描仪/test/那样的文件目录。在“软件”选择项里，标准软件都放到rules文件目录下。Issue地区是标准包文档里提及的issue的Id: Example#1, Example#2。match_