Hallo Semua, Gw WhoMeee
Hari Ini Gw akan menunjukkan Kepada Kalian
[ Menemukan Kerentanan Keamanan dalam Aplikasi Python ]
Penelitian terbaru oleh Spectrum menunjukkan, Python menduduki peringkat nomor satu bahasa pemrograman tahun ini.
Kode inti python aman, tetapi modul pihak ketiga, cara Anda mengembangkan aplikasi mungkin tidak, dan itulah mengapa Anda memerlukan pemindai keamanan untuk menemukan kerentanan jika ada. Ada banyak pemindai keamanan online komprehensif untuk menguji ancaman online, tetapi mereka mungkin tidak dapat mendeteksi kelemahan spesifik platform seperti Python, Node.js . dll.
Mari kita lihat pemindai berikut untuk menemukan risiko keamanan dalam aplikasi Python.
1. PYT (Python Taint)
Alat analisis statis open source untuk mendeteksi injeksi perintah, skrip lintas situs, injeksi SQL, serangan transversal direktori dalam aplikasi web Python.
PYT didasarkan pada landasan teori, dan jika Anda ingin berkontribusi, Anda dapat bergabung dengan grub slack mereka.
2. Bandit
Bandit adalah inisiatif Open Stack untuk menemukan risiko keamanan umum dalam kode python. Ini memproses setiap file untuk membangun AST dan menghasilkan laporan.
Anda bisa menginstalnya menggunakan pip.
Penggunaan Bandit dapat disesuaikan. Sebagai contoh, secara default pengujian dilakukan terhadap semua profil, namun, jika Anda ingin memeriksa hanya ShellInjection maka Anda dapat mencoba di bawah ini.
sampel bandit/*.py -p ShellInjection
Anda juga dapat menginstruksikan untuk melaporkan berdasarkan tingkat keparahan (Rendah, Sedang atau Tinggi).
3. Pyntch
Pyntch hanya mendukung Python 2.x, penganalisis kode statis untuk mendeteksi kemungkinan kesalahan runtime. Ini bukan untuk menemukan risiko tetapi akan berguna untuk melihat pengecualian runtime yang terkadang dapat membocorkan informasi sensitif.
Ini cepat dan mampu memindai ribuan baris dalam satu menit.
4. Spageti
Pemindai open-source berbasis python untuk menemukan kesalahan konfigurasi, file tidak aman, dan mendukung kerangka kerja web seperti CherryPy, CakePHP, dll.
Spaghetti mampu menemukan berbagai serangan termasuk berikut ini.
- Kasar
- Kartu kredit, email, pengungkapan IP
- Injeksi HTML/SQL/LDAP/XPATH/XSS
- ShellShock, Kejahatan, Struts-shock
- Sandi anonim
5. RATS (Alat Audit Kasar untuk Keamanan)
RATS melakukan analisis kasar terhadap kode Python, PHP, Perl, C++ dan menyoroti kesalahan terkait keamanan seperti di bawah ini.
-Waktu Pemeriksaan
- Waktu Penggunaan
- Buffer meluap
6. Akunetix
Platform pemindaian kerentanan komprehensif untuk menguji aplikasi jaringan & web. Acunetix memeriksa situs web Anda untuk lebih dari 5000 kerentanan dan memberikan laporan terperinci dengan pedoman perbaikan.
Jika aplikasi web Python Anda terbuka ke Internet dan mencari analisis keamanan yang mendalam , cobalah Acunetix.
7. Memerlakukan
Bukan pemindai tetapi Requires.io memantau keamanan dependensi Python dan memberi tahu Anda saat ditemukan kedaluwarsa atau rentan.
Anda dapat mengonfigurasi untuk mendapatkan pemberitahuan dengan menambahkan lencana, email, atau tarikan GitHub.
8. Keamanan
Pemeriksa dependensi python, Keselamatan dapat memindai lingkungan virtual lokal, file persyaratan, input stdin untuk masalah keamanan.
- Kesimpulan
Saya harap alat yang tercantum di atas membantu Anda menemukan risiko keamanan dalam aplikasi Python.