文章总结： 本文介绍Java自动化代码审计工具CodeQLpy，基于CodeQL引擎，核心优势是支持War包、Jar包等编译后字节码直接审计。工具适配SpringMVC与SpringBoot，能自动处理依赖与JDK切换。通过三步工作流简化操作并输出CSV报告，显著降低白盒审计门槛，适合快速挖掘SQL注入、RCE等漏洞。 综合评分： 78 文章分类： 代码审计,安全工具,WEB安全

【Java代码审计利器】自动化Java源码与字节码安全审计工具

天黑说嘿话

2026年3月2日 09:04 浙江

以下文章来源于0x八月 ，作者0xSecDebug

0x八月 .

记录我的网安生涯：从入门到实战的学习笔记、攻防工具、踩坑日记与技术思考。内容持续更新，感谢每一位师傅的关注与认可。

【Java代码审计利器】自动化Java源码与字节码安全审计工具

⚠️

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

⚠️注意：现在只对常读和星标的公众号才展示大图推送，建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦！

💡项目地址在文章底部哦！

📖 项目/工具简介

    CodeQLpy是基于CodeQL的Java代码审计工具，支持JSP、SpringBoot jar、Maven源码等多种格式。

🚀 一句话优势

    三步完成从源码到漏洞报告的自动化审计，支持编译后字节码分析。

📋 核心能力速览

| 功能名称 | 一句话说明 | | — | — | | 多格式源码支持 | JSP、War、Jar、Maven项目 | | 编译前后兼容 | 支持Java源文件与Class字节码 | | 自动化数据库构建 | 生成CodeQL数据库并执行查询 | | 常见漏洞检测 | 覆盖SQLi、XSS、RCE、SSRF等 | | 双JDK版本适配 | 自动切换JDK8与JDK11环境 |

📸 运行截图

| 工具使用案例 | 截图位置 | | — | — | | javasec测试用例 | | | 若依RuoYi测试用例 | | | SpringMVC测试用例 | |

✨ 核心亮点

1. 1编译产物直接审计：

   区别于LGTM等平台仅支持编译前源码，CodeQLpy可直接分析War包、Jar包中的Class文件。通过内置的JD与IDEA反编译工具链，自动还原字节码为可查询的CodeQL数据库，适合只有编译后交付物的审计场景。

2. 2框架感知型检测：

   针对SpringMVC与SpringBoot架构做了专门适配，自动识别注解路由与依赖注入模式。检测规则不仅匹配语法特征，还结合框架特性识别SQL注入、XXE等漏洞，减少传统正则匹配带来的误报。

3. 3工程化三步工作流：

   将复杂的CodeQL使用简化为初始化→建库→审计三个命令。自动处理Maven依赖下载、多版本JDK切换与反编译过程，生成CSV格式的结构化报告，降低白盒审计工具链的配置门槛。

🛠️ 技术优势

| 技术/特性 | 说明 | 优势 | | — | — | — | | CodeQL引擎 | 语义化代码查询 | 基于数据流分析，精准定位漏洞传播路径 | | 双JDK支持 | JDK8与JDK11自动切换 | 适配不同年代项目的编译环境 | | 反编译集成 | JD+IDEA+JSP三套工具 | 覆盖Class、Jar、War、JSP多格式反编译 | | Python驱动 | Python3.7+编排 | 自动化处理复杂工具链调用逻辑 | | Maven兼容 | 自动处理依赖 | 解决源码缺失jar导致的编译失败 |

📖 使用指南

① 准备工作：

    安装CodeQL、Python 3.7+、JDK8/11与Maven，在config.ini中配置qlpath与jdk路径。

② 核心操作：

    执行Step1生成初始化脚本（指定-t源码路径与-c编译标志），运行Step2的codeql database create命令构建数据库，执行Step3指定-d数据库路径启动审计。

③ 结果查看：

    在out/result/目录下获取CSV格式报告，包含漏洞类型、位置与代码片段，可直接用于报告撰写或导入缺陷管理系统。

📖 项目地址

https://github.com/webraybtl/CodeQLpy

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

| | | | | — | — | — |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天黑说嘿话 《【Java代码审计利器】自动化Java源码与字节码安全审计工具》