Releases: Chanzi-keji/chanzi
Releases · Chanzi-keji/chanzi
2024.2.9
2024.2.8
- 针对自定义结构的入参进行参数展开,展开后的参数列表作为属性
- 增加水平越权规则
- 增加/优化若干规则(sqli、xss 等)
- 优化 webservlet、webfilter 的请求入口参数识别
- 优化编辑器弹出工具条,延迟显示(防止与双击选中单词冲突)
- 目录树结构优化,子目录只有一个则父子目录逐级合并成一行
- 完善 mybatis 框架相关参数的标签
- 优化污点分析功能
- 修复若干 bug
2024.2.7
- 完善污点分析,解决某些情况的漏报
- 优化规则(xss、sqli等)
- 组件漏洞数据流窗口显示组件版本号
- 优化UI,优化使用体验
- 解决大文件打开时,编辑器卡死问题
- 修复若干bug
2024.2.6
- 完善xml文件的分析
- 增加xml文件的硬编码规则
- 增加xml配置druid servlet的识别
- 增加对gradle组件漏洞支持
- 完善sql注入、xxe等规则
- 解决Long、Integer类型参数导致的sqli、cmdi等各类规则的误报
- 优化java文件硬编码问题的误报
- 导出报告完成增加提醒弹窗
- 状态栏增加新版本提醒
- 修复若干bug
2024.2.5
- 规则优化完善(activiti模型注入、对象存储文件上传、其他规则优化)
- 反编译右键菜单提供war zip jar解压选项(jar中jar、war、zip扫描可先解压)
- 黑色主题
- 登录优化,解决每次重复登录问题
- 搜索功能搜索汉字优化
- 若干bug修复
2024.2.4
- 反编译范围选择粒度到package(jar文件)
- 反编译范围增加关键字快速勾选,可通过类名、包名、文件路径的关键字快速勾选(右键菜单)
- 数据流显示问题修复
- 若干bug修复
2024.2.3
- 修复一个反编译扫描的严重 bug(重要更新)
- 优化完善若干规则(URL 重定向、代码执行、反序列化、不安全的反射调用等)
- 完善二元表达式处理(用于ssrf左拼host导致的误报等场景)
- 修复若干 bug
2024.2.2
- 优化大项目内存使用,防止内存溢出
- 性能优化,超时优化,并发及超时默认参数调整
- 对漏洞按照source+sink去重
- 帮助菜单项增加查看日志,方便排查问题
- 优化完善若干规则(文件上传、目录穿越、xss等)
- 优化漏洞描述、修复建议展示、优化制表符宽度
- 修复若干bug
2024.2.1
- 修复pom.xml版本号 ${xxx.version}解析的bug
- 数据流节点切换增加指示箭头
2024.2.0
- 增加jfinal、netty框架的支持
- 增加及优化一批规则
- 重构代码编辑器,解决编辑器渲染性能问题
- 完善污点传播
- 修复若干bug