Change log:
-
新特性: Open Corax 的授权遵循 LGPL v2.1 许可,保障了用户/公司内部等小范围群体拥有自由使用本软件的权力。然而,如果您对工具进行了扩展或修改,则您必须同样在LGPL许可下公开您的改动,这样可以确保社区共同持续地改进本工具。详情请参阅LICENSE文件。
-
新特性:支持解析 pom.xml以获取dependency library 版本信息,减少规则漏报。console中会打印依赖库版本信息和规则激活条件evaluate结果
-
新特性:支持分析安卓aar格式二进制文件,支持从类zip文件中搜索加载dex文件
-
新特性:重新设计的分析配置定义 --project-config
- 改进了黑白名单配置
-
改进:优化Java旗舰引擎的分析报告路径展示信息,大幅提高了漏洞报告可读性
- 开启soot原始变量名,尽量避免展示类似#r12、#r9的变量名
- 关联的多行bug event会inline合并为一个Stmt语句
- 对污点信息和污点的关键参数进行提示
- 增加进入和退出被调用方法的信息
-
改进:优化了部分漏洞相关的检查器(XXE、Path Traversal、ZipSlip、SQLI、ScriptEngineInjection、TrustBoundaryViolation 等)
-
改进:增加 feysh.java.sqli 注入规则的报告可读性,报告中增加指向 mybatis mapper xml 和 interface mapper method 的路径
-
改进:完善了对Spring框架分析的兼容支持,进一步降低了漏报
-
改进:PreAnalysisImpl::atSourceFile 增加并行执行
-
改进:修复完善 corax wrapper script,增加了稳定性
-
修复:指针分析的 constant analysis 返回空数据的 BUG
-
修复:改进分析引擎,修复了若干崩溃和错误,增加了稳定性和正确性
- 修复一处报告检出具有随机性问题
corax-java-cli-community-2.10.1.zip 中包含编译好的规则配置和分析引擎二进制jar
SHA256: 5e5ee9ea5e46bbb9fed349d5c699dfd2b99a42a2e7385d410c51a63249b2423f