本文概述
- PYT(Python污染)
- Bandit
- Pyntch
- Spaghetti
- RATS(安全性粗糙审核工具)
- Acunetix
- Requires.io
- Safety
文章图片
python核心代码是安全的, 但是第三方模块(你开发应用程序的方式)可能不是, 因此这就是为什么需要安全扫描程序来查找漏洞的原因。有许多全面的在线安全扫描程序可以测试在线威胁, 但它们可能无法检测特定于平台的漏洞, 例如Python, Node.js。等等
让我们看一下以下扫描仪, 以发现Python应用程序中的安全风险。
PYT(Python污染) 一个开源静态分析工具, 可检测Python Web应用程序中的命令注入, 跨站点脚本, SQL注入, 目录遍历攻击。
PYT基于理论基础, 如果你想贡献力量, 那么你可以加入他们的懈怠小组。
Bandit Bandit是Open Stack的一项举措, 旨在发现python代码中的常见安全风险。它处理每个文件以构建AST并生成报告。
你可以使用pip安装它。
Bandit的用法可以自定义。例如, 默认情况下会针对所有配置文件进行测试, 但是, 如果你只想检查ShellInjection, 则可以尝试以下操作。
bandit samples/*.py -p ShellInjection你还可以指示根据严重性(低, 中或高)级别进行报告。
Pyntch Pyntch仅支持Python 2.x, 这是一种静态代码分析器, 用于检测可能的运行时错误。这并不完全是要发现风险, 而是有助于查看运行时异常, 该异常有时会泄露敏感信息。
它速度很快, 并且能够在一分钟内扫描数千行。
Spaghetti 一个基于python的开源扫描程序, 用于发现配置错误, 文件不安全以及支持诸如CherryPy, CakePHP等Web框架。
文章图片
Spaghetti能够发现各种攻击, 包括以下内容。
- 蛮力
- 信用卡, 电子邮件, IP披露
- HTML / SQL / LDAP / XPATH / XSS注入
- ShellShock, 犯罪, Struts-shock
- 匿名密码
- 检查时间
- 使用时间
- 缓冲区溢出
文章图片
你可以配置以通过添加徽章, 电子邮件或GitHub拉获得通知。
Safety Safety是python依赖项检查器, 可以扫描本地虚拟环境, 需求文件, stdin输入中的安全性问题。
文章图片
总结
我希望上面列出的工具可以帮助你发现Python应用程序中的安全风险。
9种构建小型企业应用程序的最佳Python框架
推荐阅读
- 如何在几分钟内找到域的子域()
- 如何测试DNS安全风险并修复以避免被黑客入侵()
- 8个Drupal安全扫描程序来查找漏洞
- F5 iRule使用HTTPOnly和Secure保护Cookie的安全
- F5 irule使用X-FRAME-OPTIONS保护点击劫持攻击
- 10个道德黑客在线培训场
- 我的应用程序运行良好,除了Android 9版本。我无法理解什么是问题
- Android主题定制
- 如何在Android上更改默认的ProgressBar圆圈颜色