正在阅读:

Cobra眼镜蛇代码审计工具安装指南

9,601

眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者漏洞。

最近无意中发现了一款代码审计工具,自己尝试安装了一下,发现安装过程遇到了太多的问题,记录一下。

原文安装指南:

https://github.com/wufeifei/cobra/wiki/Installation

本人的安装环境:

操作系统:CentOS 6.6 X64

Python版本:2.6.6 + 2.7.12

说明:由于python2.6.6比较老了,有些功能不支持,所以我升级成了python2.7分支的最新版,但是由于centos yum工具运行必须使用2.6版本,所以操作系统内两个python版本需要共存。

Cobra

安装教程:

1、下载代码

git clone https://github.com/wufeifei/cobra.git
cd cobra/

2、安装系统依赖

# Python
yum install Python-devel

# MySQL
yum install MySQL-python
yum install mysql-devel


# PIP
yum install epel-release
yum install python-pip

# gcc-c++
yum install gcc-c++

# Cloc
sudo yum install cloc                  # Red Hat, Fedora

在这一步安装,出错的比较多,主要是安装pip install MySQL-python时出错,如果使用python2.6则安装一切顺利,但是如果使用python2.7.12 编译就通不过,使用了多种方法均没有解决,使用fedora的网上编译包也没有解决。

yum install MySQL-python默认会安装到python2.6的环境中,所以使用python2.7执行程序就会提示无法找到MySQLdb模块。

最终解决办法为:

先使用pip安装pymysql, pip install pymysql,

然后修改cobra/app/__init__.py 里头部增加如下代码:

import pymysql
pymysql.install_as_MySQLdb()

详见:https://segmentfault.com/q/1010000006137088?_ea=1026977

3、安装Cobra的Python依赖

# Cobra根目录下
pip install -r requirements.txt

4、配置Cobra(Cobra配置方法

cp config.example config
vim config

5、初始化数据库表结构和数据

python cobra.py install

这一步有问题,首先是先要安装mysql-server,命令:

yum install mysql-server
yum install mysql-client

根据官方的说法,是需要mysql版本为5.6以上,我测试了,使用5.5版本一样可以使用。

由于代码里面不会自动创建数据库,所以我们需要手工创建一个数据库。

mysql -uroot -p"你的mysql密码"
create database cobra;

然后再执行python cobra.py install,即可成功安装。

6、启动Cobra

python cobra.py start

使用时也有一个问题,当我上传一个rar文件时,发现无法解压,因此还需要执行如下命令:

yum install unrar
pip install unrar

7、日志信息

tail -f logs/cobra.log

这里建议将config文件里面的debug参数修改为1

然后就可以打开你的Cobra,进行测试了。

经过试用发现,安装后Cobra里面没有任何的内置规则,很是鸡肋,浪费我一上午时间呀,果断删除。

有需要的同学自己玩吧,我不建议新手使用。

Cobra眼镜蛇github地址:

https://github.com/wufeifei/cobra

目前有:4条访客评论,博主回复4

  1. 小弟
    2016-10-17 15:36

    大哥 有点坑啊 “经过试用发现,安装后Cobra里面没有任何的内置规则” 竟然写在了最后。。。。 我也白忙活了一上午 啊啊啊啊啊啊

    • 独自等待
      2016-10-17 15:42

      我还算厚道的,还给你们提示了,这个cobra官方啥也不说,所以我在最后说不建议使用,我给个加亮提示吧。

  2. 壹叁壹肆
    2016-10-19 15:01

    [/吓到] 后台这是禁了多少敏感词汇啊,试了几十遍…..

    • 独自等待
      2016-10-21 20:23

      反正不少,老是有垃圾留言,我也是没有办法。

  3. 菜鸟
    2017-03-16 10:45

    又一个被“没有任何内置规则”坑了的飘过, [/呲牙]
    还是要感谢楼主的分享啊

  4. safe3
    2017-07-24 10:21

    这个其实没有任何价值,也没有规则

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌