0x00 dependency-check是一款OWASP官方出品的一款产品。主要功能是对jar依赖包进行漏洞扫描。他的简单工作原理是依靠强大的漏洞库,与被扫jar依赖包进行比对,输出jar包漏洞详情。所以该工具只能扫描出已经公布的漏洞,无法扫描0day漏洞。详细介绍见官网:https://owasp.org/www-project-dependency-check/
0x01 使用一段时间下来经常会报标题的错误。下面直接来看问题,从日志中可以看到下载jsrepository.json文件失败。复制链接到浏览器发现确实无法访问。(应该是国内网络的问题)
0x02 解决方法:手动下载jsrepository.json文件到根目录data文件夹下。替换后重新执行命令即可。
网盘自取:链接:https://pan.baidu.com/s/1cK-Iv2LD8h2FOoQBTR0NGg
提取码:twjy
或者csdn免积分下载:https://download.csdn.net/download/xxbaike/12706430
0x03 使用方法补充:下载直接解压在bin目录下按着shift键再右键选择powershell,即可在当前路径下启动命令窗口。输入 .\dependency-check.bat --project test -s "D:\lib" -o .\ (--project跟的是你自定义的项目名,-s跟的是要扫描的jar依赖包路径,-o是导出报告的路径)。程序不会自动更新漏洞库时加上 -cveValidForHours 0 参数。