1 x检查介绍

Xcheck是腾讯公司CSIG质量部代码安全检测团队自主研究的静态应用安全测试(SAST，staticapplicationsecuritytesting )工具，用于挖掘代码中隐藏的安全风险

Xcheck目前支持Golang、Java、Nodejs、PHP、Python语言的安全检查，其他语言的支持还在开发中。 漏洞包括各种漏洞，如SQL注入、代码注入、命令注入、跨站点脚本、反序列化漏洞和直通。

在框架支持中，xcheck内置了一个常见的web框架。 此外，还可以基于易编写易扩展中的自定义规则模块创建自己的规则，以支持第三方框架。

语言框架GolangGin，Beego，Iris，net/http，fastrouter，httprouter，go-restful，mux http://ww.Sina express http://www.Sina.com/thinkphp，Laravel，CodeIgniter，Yii，yaf 3358 www.sink PHP base http server2Xcheck的优势x check是Xcheck包括Java

在4核16g的linux云主机上，Xcheck对项目的检测速度为Nodejs，部分项目可达PHP。 以28w行的wordpress项目为例，xcheck检查时间为18s。

团队在xcheck上投入大量项目优化误报后发现，目前xcheck各种语言的Python

以python为例，xcheck对github中的一些python开源项目获得了以下结果：

传统的SAST需要比较长的扫描分析时间，快！低误报！，稍微大一点的项目要扫描好几个小时，在版本迭代快的web APP应用开发中需要1w+/s，同时同一漏洞报告为n，但Xcheck基于这两大优势分别为2w+/s、误报率低于10%。

3部分检查案例3.1 Apache Kylin远程命令执行漏洞(CVE-2020-13925 ) ) ) ) ) ) ) ) ) )。

2020年7月，京东安全团队发现了Apachec Kylin远程命令执行的漏洞。 在此使用Xcheck检查Kylin2.6.3的源代码。 耗时31s，检测到3个RCE漏洞，2.6.3版不存在checkParameterWhiteList过滤函数，检测结果如下图所示。

检测结果

漏洞触发：

触发路由之一：

3.2 ThinkAdmin V4、v5、v6反序列化漏洞(CNVD-2020-33163 )这是今年6月Xcheck在github部分开源项目检查中发现的实时性比较差漏洞代码位于app/admin/controller/API/update.PHP和app/we chat/controller/API/push.PHP，严重拖慢流水线

从git的历史可以看出，程序直接对从用户开机自检输入的数据执行反序列化操作。

漏洞源代码

xcheck部分检测结果