Последние исследования Spectrum показывают, что Python занял первое место в этом году среди языков программирования.
Ядро кода Python является безопасным, но сторонние модули могут и не быть таковыми, поэтому необходим сканер безопасности для поиска уязвимостей, если таковые имеются.
Существует множество комплексных онлайн-сканеров безопасности для проверки онлайн-угроз, но они не могут обнаружить уязвимость платформ, таких как Python, Node.js. и т.п.
PYT (Python Taint)
Инструмент статического анализа с открытым исходным кодом для обнаружения инъекции ввода команд, межсайтового скриптинга, SQL-инъекции, перекрестных атак каталогов в веб-приложениях Python.
Tinfoil
Произведите БЕСПЛАТНУЮ проверку безопасности веб-сайта Python & Django, чтобы найти слабость в веб-серверах и приложениях.
Tinfoil предоставляет подробную информацию об уязвимостях и возможных способах их устранения.
Он фокусируется на OWASP to 10, XSS, SQL injection & HTTP injection.
Bandit
Bandit – это инициатива Open Stack для поиска общей угрозы безопасности в коде python.
Он обрабатывает каждый файл сборки AST создает отчет.
Вы можете установить его с помощью pip.
Пример использования для шелл инъекции:
# bandit samples/*.py -p ShellInjection
Вы также можете редактировать отчет на основании уровня серьезности (низкий, средний или высокий).
Pyntch
Pyntch поддерживает только Python 2.x, статический анализатор кода для обнаружения возможных ошибок.
Он достаточно быстрый и способен сканировать тысячи строк за минуту.
Spaghetti
RATS (Rough Auditing Tools for Security)
RATS проводит грубый анализ кода Python, PHP, Perl, C ++ и выделяет связанные с безопасностью ошибки, как показано ниже.
Время проверки
Время использования
Переполнение буфера
Acunetix
Комплексная платформа сканирования уязвимостей для тестирования сетевых и веб-приложений.
Acunetix проверяет ваш сайт на более чем 5000 уязвимостей и предоставляет подробный отчет с рекомендациями по исправлению.
Если ваше веб-приложение Python находится в Интернете попробуйте Acunetix.