CAT.NET简介

CAT.NET(Microsoft Code Analysis Tool .NET)是一套微软推出的基于Web应用程序(ASP.NET)进行静态代码安全检测工具。

它可以找出网页是否存在可被利用的安全漏洞,如Cross-Site Scripting (XSS), SQL Injection, XPath Injection, File Canonicalization, … 等知名且常见的漏洞,目前有8条规则,但规则都是以XML定义的,很容易扩展。

 

CAT.NET的使用有两种方式:

1. 直接从Visual Studio中启动作为插件的CAT.NET Code Analysis工具

打开solution之后,通过Tools -> CAT.NET Code Analysis菜单来开启工具窗口。

然后点击启动检测即可

正常只需要使用默认的规则即可,如果需要自定义规则,可以自行设定。

扫描完毕后,工具会生成检测报告,可以定位到代码级别。

 

不过这套工具微软出了都好几年了,版本还只有v1 CTP,不知道还更不更新了。我在使用这种方式分析稍微大一点的project的时候,Visual Studio会直接挂掉。

这种情况下,只能使用第二种命令行调用的方法了。

 

还有一个,当初微软出这套工具的时候,还没有VS2010,所以如果是VS2010的话,需要手工修改插件配置文件来使用。

步骤如下:

1) 通过记事本等文本编辑器打开%APPDATA%\Microsoft\MSEnvShared\Addins\Microsoft.ACESec.CATNet.AddIn文件

2) 在”<Version>9.0</Version>”下面多加一行”<Version>10.0</Version>”以支持VS2010

3) 重启VS2010

 

2. 在命令窗口下执行扫描工具

执行完之后,会在同目录下看到两个生成的文件,其中MicrosoftACECodeAnalysisReport.xml是完整的分析报告,以XML方式存储。另一个是report.html是给人看的,里面有问题描述、出现问题的代码行号、代码片段以及建议的解决方案。

 

遗憾的是,这个工具微软出了之后,好几年都没更新过,建议的解决方案中有使用Anti-XSS库的,Anti-XSS库都更新到了4.2版本了,我使用了后,重新扫描,CAT.NET竟然不认。。。

 

 

 

 

原创文章,转载请注明: 转载自闲云博客

本文链接地址: CAT.NET简介

发表评论

电子邮件地址不会被公开。 必填项已用*标注