第38篇：Checkmarx代码审计/代码检测工具的使用教程(1)

 Part1 前言 

Checkmarx是以色列研发的一款代码审计工具，是.NET开发的，只能在Windows下使用。很多人喜欢把它和fortify进行比较，其实很难说两款工具孰优孰劣，各有秋千吧，两款工具配合起来互补一下更好。Checkmarx和Fortify一样，是商业版的，没有免费版。就我本人实战使用的经验来看，对于有些高危漏洞，有时候Fortify能扫出来，有时候Checkmarx能扫出来，没法评判哪个工具更厉害。Checkmarx的使用教程网上很少，我看了它的说明书，说明书写得有点复杂，我写一个简单的教程方便大家上手吧。

关于checkmarx的命令行工具的使用、Checkmarx的API接口调用方法，我们后续再讲。欢迎关注本人ABC_123的公众号，99%原创，欢迎关注，欢迎转发。

求助：哪位朋友有Codesecure、IBM Security AppScan Source的破解版或者是试用版，方便的话发我试用一下，保证不用于商业目的，Thanks♪(･ω･)ﾉ

 Part2 安装过程 

不得不说，Checkmarx的安装通常是一波三折的，需要额外安装IIS、.NET环境、SQLServer数据库等等，我通常是安装好几遍才能成功。我强烈建议大家安装在win2012或者win2016的虚拟机当中，如果安装失败可以还原一下重装，或者大家可以从网上找一个别人做好的虚拟机版的破解版，当然有能力的公司可以购买一款商业版，本公众号就不提供下载地址了，大家网上自寻。对于软件的安装过程，我就说几个关键点：

 1  确保以下几个服务处于启动状态CxJobsManager、CxScansManager、CxSystemManager、CxScanEngine、IIS Admin Service、World Wide Web Publishing Service。

 2   安装完成之后，显示失败，不要着急，需要等待几分钟，因为Checkmarx的各种服务需要一定的时间去启动。

 3   Checkmarx和大多数代码审计工具一样，需要系统配置很高，我一般给它开16G内存。

 4   操作系统建议选择win2012或者win2016，最新版的可能是需要win2019，不太确定。

 5   网上有不少版本的破解版，有的破解版扫描到90%或者99%就一直卡住不动，那是破解不完美，有暗桩没去掉，大家要仔细甄别。

软件界面默认是英文的，按照如下设置，可以改成中文界面。

 Part3 使用客户端进行代码扫描 

Checkmarx有两种使用方法，一种是客户端程序，一种是Web界面。首先介绍一下客户端程序的使用，首先点击桌面的“Checkmarx Audit”快捷方式，输入用户名密码进行登录。

然后点击“New Local Project”按钮，点击“Browse”按钮，选择需要进行代码扫描的java代码的文件夹，记得要有附带完整的jar包，否则Checkmarx编译不成功，导致扫描结果漏报。

点击“Count”可以直接给出代码行数，方便评估代码审计的工作量。

勾选“Select Queries Before Loading Project”选项，可以手工选择代码审计的规则库。

在“Run Multiple Queries”界面下，可以选择需要使用的代码审计规则库。如果是java代码，我们只需要勾选Java选项即可，然后点击“Scan”按钮。

Checkmarx就开始扫描了，在“Loading Project”窗口下，可以看到扫描进度。

接下来查看扫描结果，勾选“Hide Empty”，可以隐藏掉没有漏洞的扫描结果项，这样“Results History”下的漏洞结果一目了然。

在右下角方框中，点击一下，可以直接对相应的代码进行预览，Checkmarx可以对代码进行高亮显示。

在最右边方框中可以看到漏洞污点传播的整个流程图，这个功能类似于Fortify的Diragram功能，非常方便。代码审计人员可以借助此流程图，审计漏洞污点传播过程中，有没有一些过滤函数把漏洞利用的特殊字符给过滤掉或者转义掉，并根据过滤函数查找是否存在绕过的可能性。

在这个窗口下，可以保存扫描结果，下次可以使用checkmarx重新打开。

再次打开界面，在界面左边的“Projects”，可以看到以往扫描过的代码审计项目。

 Part4 使用Web界面代码扫描 

接下来讲一下Web界面的使用方法，点击桌面的快捷方式“Checkmarx Portal”，将会打开一个web界面。

输入用户名密码之后，可以使用Web界面进行代码审计工作，但是我个人不太建议使用这个界面，因为Web界面操作起来有点卡。

在“仪表盘”标签下，可以看到我们之前用客户端程序“Checkmarx Audit”进行扫描的扫描结果，项目名为scan111，

接下来讲讲如何进行代码扫描，首先点击“新建项目”按钮。

点击上传java源码压缩包，部分版本可能有200M文件大小限制，这时候需要用CxZip utility进行处理。

点击“计算行数”，可以得知代码的总行数，进而预估代码审计的工作量。

之后一直点击“下一步”，最后点击“完成”。

之后便开始扫描过程了，如下图所示，代表扫描工作完成了6%。

扫描完成后，可以看到当前项目的整体漏洞分布情况，包括发现了多少高危漏洞，多少中低危漏洞等。

点击“打开扫描总结”，会弹出以下界面。

点击“打开察看器”，可以像客户端一样对扫描结果进行操作，查看代码审计漏洞的细节，但是操作起来有点卡。

点击右下角长方框中的文件路径，可以直接查看java代码，Checkmarx给出了代码的高亮显示。

Checkmarx在这里给出了一个非常好用的功能，红色方框代表各种各样的Web漏洞触发流程的交集点，也可以理解为，红色方框中给出了漏洞的最佳修复点，修复漏洞就可以从交集点处修复，那么交集点往前的sql注入漏洞都得了修复，减少了很大的修复漏洞的工作量。

如下图所示，修复红框中的一处漏洞，上面多条漏洞触发流程都被中断，都会得到修复。

点击如下图标，可以生成各种形式的报告。

手动勾选需要报告体现的各种漏洞类型，点击“生成报告”按钮。

最终生成的报告如下，和Fortify一样，还是自己编写代码审计报告吧。

 Part5 总结 

1. 关于Checkmarx的命令行工具的使用、Checkmarx的API接口调用方法，我们后续再讲。

2.  对于这些商业版的代码审计工具，记得要仔细看使用说明书。

专注于网络安全技术分享，包括红队攻防、蓝队分析、渗透测试、代码审计等

每周一篇，99%原创，敬请关注