聚合型代码审计工具QingScan使用实践

一、简介

笔者最近看到很多公众号在推荐QingScan这款扫描器平台，也好奇了起来，花了半小时将QingScan搭建了起来；

搭建起来之后，进入控制台中看了下QingScan的功能列表，发现除了公众号介绍的黑盒扫描功能外其实还有不少功能，我比较喜欢的是里面的白盒审计功能，里面集成了fortify、semgrep、河马webshell、kunlun-m、sonarqube、PHP依赖、Python依赖、java依赖的扫描工具,所以写下这篇文章跟大家分享一下~

二、功能概览

我安装好QingScan后，进入QingScan控制台，最先看到的是黑盒扫描和白盒审计的统计图，以及上方的导航栏。

2.1 图表分析

统计图分为了两类，如下图所示：

在上图中可以看到，

第一类是白盒审计结果统计，展示了扫描结果中的高中低漏洞比例和按照日期扫描到的结果，以及按照漏洞分类统计的比例。

第二类是主机扫描的统计结果，展示了扫描出的端口比例，以及主机端口比例，还有一个应该是根据端口识别成组件的统计结果。

2.2 添加项目

我根据自己感兴趣的功能，点击了导航栏上的白盒审计->项目列表->添加项目，会弹出一个添加项目的窗口，经过尝试发现只需要填写项目名称和地址即可，其他都是选填项，如下图所示

在上图中填写完资料后，结果会添加到项目列表，在图中可以看到已经添加了一个项目。

三、结果分析

3.1 项目内部

添加完项目之后，在项目列表中会发现各种工具对应的数字增长了，如下图所示

将鼠标放到数字位置上方会看到对应工具的扫描完成时间，点击链接会跳转到对应的工具列表，这里就不展开说明了。

3.2 详情页

我惦记了查看按钮,发现进入了详情页，在详情页可以看到项目的一些基本信息，以及各种工具的一部分扫描结果，如下图所示

在上图中可以看到基本信息中包含了添加项目时候填写的信息，工具动态中的时间是指各种工具扫描完成的时间。

3.3 fortify扫描结果

往详情页下面可以看到fortify的部分扫描结果，如下图所

在上图中可以看到图中展示了漏洞类型、危害等级、参数污染来源、执行位置、以及审核状态等信息，审核状态是一个下拉组件，可以直接进行审核操作。

3.3 semgrep扫描结果

往详情页下滚动鼠标，还可以看到semgrep对项目的扫描结果，如下图所示

同样展示了漏洞类型、危害等级、执行位置、以及审核状态等信息，审核状态是一个下拉组件，也可以直接进行审核操作。

3.4 依赖扫描

四、工具介绍

下面是我将QingScan的一部分介绍复制过来的

4.1 介绍

QingScan 是一款聚合扫描器，本身不生产安全扫描功能，但会作为一个安全扫描工具的搬运工； 当添加一个目标后，QingScan会自动调用各种扫描器对目标进行扫描，并将扫描结果录入到QingScan平台中进行聚合展示

• GitHub：https://github.com/78778443/QingScan
• 码云地址：https://gitee.com/songboy/QingScan
• 详细文档：http://wiki.qingscan.songboy.site
• 哔哩哔哩：https://space.bilibili.com/437273065
• 官网地址：http://qingscan.songboy.site/

4.2 在线演示

在线体验地址：http://txy8g.songboy.site:8112/ 用户名：admin 密码：admin

注：在线体验地址为功能演示，不会对目标实际扫描~

4.3 靶场系统

您在安装之后请不要对未获得足够授权的目标进行扫描，同时为了让你能够快速上手，我们搭建了一些靶场系统授权你进行安全扫描：

1. http://txy8g.songboy.site:8888/home/index.php 轻松渗透测试系统测试

作者：汤青松

日期：2022年1月9日