多层代码安全分析
人话报告 · LLM 可用

上传代码文件或 ZIP 项目,自动执行多层静态分析,输出无内部编号、可直接喂给大模型的安全报告。覆盖常见注入、密码学误用、协议风险等类型。

开始扫描 查看能力说明

使用前请阅读 免责声明

核心能力

不止于正则匹配,从意图映射到风险分级,形成可落地的分析链路。

🌐

网络协议安全

识别不安全的 HTTP/HTTPS 请求、证书校验忽略、SSRF、硬编码地址等网络层风险,给出修复方向。

🔐

密码学使用检测

发现 MD5/SHA1、DES/RC4、AES-ECB、弱随机数等密码学误用,并推荐现代替代方案。

🧠

LLM 友好报告

报告去内部编号、用人话标题、附修复建议,可直接作为 LLM 的上下文预处理层输入。

多层扫描引擎

L0 意图映射 → L1 轻量扫描 → 网络/密码专项 → 报告生成,逐层递进,控制误报。

检测能力矩阵

覆盖常见静态分析场景,与主流静态检测工具的能力域对齐。

💉 注入与执行风险

  • SQL 注入(字符串拼接、格式化语句)
  • 命令注入(system/exec/popen 等危险调用)
  • 代码注入 / eval / exec 动态执行
  • XSS / 模板注入(输出未转义)

🛡️ 敏感操作与权限

  • 路径遍历(../、未校验文件名)
  • 敏感信息硬编码(密码、密钥、Token)
  • 不安全的文件操作(权限过大、任意读写)
  • 不安全的反序列化 / 反射调用

🔒 密码学与协议

  • 弱哈希:MD5、SHA1、CRC32
  • 弱加密:DES、RC4、AES-ECB
  • 弱随机数 / 可预测种子
  • HTTPS 证书校验忽略
  • SSRF、不安全的 HTTP 请求

📡 网络与资源

  • 硬编码 IP / URL
  • 未验证的下载 / 请求
  • 资源耗尽风险(循环、递归)
  • 异常信息泄露

🧩 代码质量与规范

  • 危险函数使用(strcpy、gets 等)
  • 整数溢出 / 缓冲区操作风险
  • 并发安全(竞态条件提示)
  • 空指针 / 未初始化变量

📊 报告与输出

  • 风险等级:严重 / 高危 / 中危 / 低危
  • 人话标题与修复建议
  • 同位置同类型去重
  • Markdown / HTML / JSON 导出

扫描流程

三步完成从代码到报告。

1

上传代码

支持单文件或 ZIP 项目,自动识别语言并限制资源。

2

多层分析

轻量扫描 + 网络/密码专项 + 风险分级。

3

下载报告

Markdown / HTML / JSON 三种格式,附带修复建议。

开始扫描

本地处理,不保留源码。ZIP 限制 5MB,最多 100 个代码文件。

📂
拖放文件到此处 或 点击选择
支持 C/C++ · Python · JS · HTML · Rust · Java · Go · TS · Kotlin · Swift · PHP · CSS

免责声明

使用前请仔细阅读。

⚠️ 重要提示