个性化阅读
专注于IT技术分析

如何在Python应用程序中查找安全漏洞?

本文概述

Spectrum的最新研究表明, Python在今年排名第一。

如何在Python应用程序中查找安全漏洞?2

python核心代码是安全的, 但是第三方模块(你开发应用程序的方式)可能不是, 因此这就是为什么需要安全扫描程序来查找漏洞的原因。有许多全面的在线安全扫描程序可以测试在线威胁, 但它们可能无法检测特定于平台的漏洞, 例如Python, Node.js。等等

让我们看一下以下扫描仪, 以发现Python应用程序中的安全风险。

PYT(Python污染)

一个开源静态分析工具, 可检测Python Web应用程序中的命令注入, 跨站点脚本, SQL注入, 目录遍历攻击。

PYT基于理论基础, 如果你想贡献力量, 那么你可以加入他们的懈怠小组。

Bandit

Bandit是Open Stack的一项举措, 旨在发现python代码中的常见安全风险。它处理每个文件以构建AST并生成报告。

你可以使用pip安装它。

Bandit的用法可以自定义。例如, 默认情况下会针对所有配置文件进行测试, 但是, 如果你只想检查ShellInjection, 则可以尝试以下操作。

bandit samples/*.py -p ShellInjection

你还可以指示根据严重性(低, 中或高)级别进行报告。

Pyntch

Pyntch仅支持Python 2.x, 这是一种静态代码分析器, 用于检测可能的运行时错误。这并不完全是要发现风险, 而是有助于查看运行时异常, 该异常有时会泄露敏感信息。

它速度很快, 并且能够在一分钟内扫描数千行。

Spaghetti

一个基于python的开源扫描程序, 用于发现配置错误, 文件不安全以及支持诸如CherryPy, CakePHP等Web框架。

如何在Python应用程序中查找安全漏洞?4

Spaghetti能够发现各种攻击, 包括以下内容。

  • 蛮力
  • 信用卡, 电子邮件, IP披露
  • HTML / SQL / LDAP / XPATH / XSS注入
  • ShellShock, 犯罪, Struts-shock
  • 匿名密码

RATS(安全性粗糙审核工具)

RATS对Python, PHP, Perl, C ++代码进行粗略分析, 并突出显示与安全相关的错误, 如下所示。

  • 检查时间
  • 使用时间
  • 缓冲区溢出

Acunetix

一个全面的漏洞扫描平台, 可以测试网络和Web应用程序。 Acunetix会检查你的网站上是否有5000多个漏洞, 并提供详细的报告以及修复准则。

如何在Python应用程序中查找安全漏洞?6

如果你的Python Web应用程序暴露在Internet上并正在寻求深入的安全分析, 请尝试使用Acunetix。

Requires.io

不是扫描程序, 而是Requires.io监视Python依赖关系安全性, 并在发现过时或易受攻击时通知你。

如何在Python应用程序中查找安全漏洞?8

你可以配置以通过添加徽章, 电子邮件或GitHub拉获得通知。

Safety

Safety是python依赖项检查器, 可以扫描本地虚拟环境, 需求文件, stdin输入中的安全性问题。

如何在Python应用程序中查找安全漏洞?10

总结

我希望上面列出的工具可以帮助你发现Python应用程序中的安全风险。

9种构建小型企业应用程序的最佳Python框架

赞(0)
未经允许不得转载:srcmini » 如何在Python应用程序中查找安全漏洞?

评论 抢沙发

评论前必须登录!