🐍 Как найти уязвимости в приложении Python👨⚕️ |

🐍 Как найти уязвимости в приложении Python👨⚕️

Обзоры

Последнее исследование Spectrum показывает, что Python занял первое место в этом году.

Код ядра Python является безопасным, но сторонние модули могут отличаться от того, как вы разрабатывали приложение, и поэтому вам необходим сканер безопасности для поиска уязвимостей, если таковые имеются.

Существует множество комплексных онлайн-сканеров безопасности для тестирования на наличие онлайн-угроз, но они могут быть не в состоянии обнаружить слабые места конкретной платформы, такой как Python, Node.js. и т.п.

Давайте посмотрим на следующие сканеры уязвимости, чтобы найти угрозы безопасности в приложении Python.

PYT (Python Taint)

Инструмент статического анализа с открытым исходным кодом для обнаружения внедрения команд, межсайтового скриптинга, внедрения SQL инъекции, атак через каталог в веб-приложениях Python.

PYT основан на теоретической основе, и если вы хотите внести свой вклад, то вы можете присоединиться к их  группе.

Bandit

Bandit – это инициатива Open Stack по поиску общих угроз безопасности в коде Python.

Он обрабатывает каждый файл для создания AST и генерирует отчет.

Вы можете установить его с помощью pip.

Использование Bandit может быть настроено.

У предыдущего, по умолчанию тест проводится для всех профилей, однако, если вы хотите проверить только ShellInjection, вы можете попробовать пример ниже.

bandit samples/*.py -p ShellInjection

Вы также можете поручить ему составлять отчеты в зависимости от уровня серьезности (низкий, средний или высокий).

Pyntch

Pyntch поддерживает только Python 2.x, это статический анализатор кода для обнаружения возможных ошибок во время выполнения.

Он не совсем точно может найти риски, но будет полезно увидеть исключение времени выполнения, которое иногда может привести к утечке конфиденциальной информации.

Он быстрый и способен сканировать тысячи строк в минуту.

Spaghetti

Сканер с открытым исходным кодом на основе Python для поиска неверной конфигурации, небезопасных файлов и поддержки веб-платформ, таких как CherryPy, CakePHP и т. д.

Spaghetti  способен обнаруживать различные атаки, включая следующие.

  • Брутфорс
  • Раскрытие кредитных карт, электронной почты,  IP
  • HTML / SQL / LDAP / XPATH / XSS-инъекция
  • ShellShock, Crime, Struts-shock
  • Анонимный шифр

RATS (Rough Auditing Tools for Security)

RATS выполняет грубый анализ кода Python, PHP, Perl, C ++ и выделяет ошибки, связанные с безопасностью, как показано ниже.

  • Время проверки
  • Время использования
  • Переполнение буфера

Acunetix

Комплексная платформа сканирования на уязвимости для тестирования сетевых и веб-приложений.

Acunetix проверит ваш сайт на наличие более 5000 уязвимостей и предоставляет подробный отчет с рекомендациями по исправлению.

Если ваше веб-приложение Python открыто в Интернете и нуждается в углубленном анализе безопасности, попробуйте Acunetix.

Requires

Не сканер, но require.io следит за безопасностью зависимостей Python и уведомляет вас об обнаружении устаревших или уязвимых библиотек.

Вы можете настроить получение уведомлений, добавив значки, электронную почту или GitHub pull.

Safety

Средство проверки зависимостей python, Safety может сканировать локальную виртуальную среду, файл требований, входные данные stdin на наличие проблем безопасности.

Заключение

Я надеюсь, что перечисленные выше инструменты помогут вам найти угрозы безопасности в ваших приложениях Python.

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий