谷歌开源 Python 代码漏洞查找工具 Atheris

最新推荐文章于 2024-03-26 09:51:45 发布
最新推荐文章于 2024-03-26 09:51:45 发布
阅读量461 收藏
点赞数
文章标签: 微软 css github go eclipse
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

谷歌安全专家又开源了另外一款自动化模糊测试工具,希望开发人员能够使用该工具在漏洞遭利用前,找到并修复漏洞。这款工具名为“Atheris”,是一款典型的模糊测试工具。

模糊测试工具和模糊测试技术的工作原理是,为软件应用提供大量随机数据并分析关于异常和崩溃情况的输出,从而使得开发人员能够了解某款应用代码中很可能存在的漏洞及其所处位置。

多年来,谷歌安全研究员一直都在不遗余力地推广使用模糊测试工具,不仅用于发现普通漏洞,而且还发现可被攻击者利用的危险漏洞。

自2013年以来,谷歌安全研究员就已经创建并开源了多款模糊测试工具,如 OSS-Fuzz、Syzkaller、ClusterFuzz、Fuzzilli 和 BrokenType。不过这些工具都是为了发现 C 或 C++ 应用程序中的漏洞。

专为 Python 代码库而创建

Atheris 是谷歌为应对日益流行的 Python 编程语言而设置的。上个月,Python 在 TIOBE 索引的排名为第3名。

Atheris 是谷歌在去年10月份举行的一次内部黑客马拉松活动上开发的,支持通过 Python 2.7 和 Python 3.3+ 版本编写的代码,同时支持通过 CPython 创建的原生扩展。

然而,谷歌表示使用 Atheris 的最佳代码是使用Python 3.8及后续版本编写的代码。这些 Python 版本中的新增功能有助于 Atheris 找到更多的漏洞。

谷歌表示,未来计划在 OSS-Fuzz 上增加对 Atheris 模糊测试的支持。此前,OSS-Fuzz 仅支持 C 和 C++ 模糊测试且极其成功,多年来找到了数千个漏洞。截止到2020年6月,OSS-Fuzz 已经在300个开源项目中找到了2万多个漏洞。

Atheris 现已在 GitHub 上开源,同时可从Python 数据包库 PyPI 中获取,地址如下:

  • https://github.com/google/atheris

  • https://pypi.org/project/atheris/

推荐阅读

谷歌开源漏洞扫描器“海啸”,专为大型企业服务

微软开源用于大规模查找并修复漏洞的开发者工具 Project OneFuzz 框架

Facebook 开源 Instagram 的Python 代码静态安全分析工具 Pysa

原文链接

https://www.zdnet.com/article/google-open-sources-atheris-a-tool-for-finding-security-bugs-in-python-code/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
chatgpt赋能pythonPython后门:你需要知道的一切
www_xuhss_com的博客
06-05 464
本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。🧡AI职场汇报智能办公文案写作效率提升教程 🧡专注于AI+职场+办公方向。下图是课程的整体大纲下图是AI职场汇报智能办公文案写作效率提升教程中用到的ai工具
安全扫描工具_谷歌又一开源利器AtherisPython代码安全扫描工具
weixin_39640773的博客
12-13 359
近日谷歌开源了一款Python代码安全漏洞扫描工具Atheris,希望开发者在漏洞被利用之前能够用它来发现安全漏洞并修补漏洞pythonAtheris介绍Atheris目前基于Apache-2.0 License开源github上,Atheris是一个典型的漏洞检查工具,它支持 Python 代码的安全扫描,也支持为 CPython 编写的本机扩展。当检查本地代码时,通过为软件应用程序提供大量...
Python代码扫描:企业级代码代码安全漏洞扫描Bandit
SteveRocket's-Blog
09-13 1710
我们可以根据报告中的建议来修复代码中的安全问题,以提高代码的质量和可靠性。在软件开发过程中,存在许多潜在的安全漏洞,为了及时发现和修复这些漏洞,我们需要使用专业的安全扫描工具,Bandit可以帮助我们检查代码中的潜在安全风险,如代码注入、XSS攻击、SQL注入和敏感信息泄露等。Bandit默认也不需要配置,如果我们需要根据自己的项目实际需求做一些配置,则可以通过一个名为bandit.yaml的配置文件,可以在项目根目录下创建该文件,并指定需要检查的规则和其他配置选项。打开首选项,然后导航到工具>外部工具
一款以Python编码的自动化大规模漏洞测试工具
python学习者的博客
08-20 2499
可能大家之前已经使用过AutpSploit这款自动化漏洞利用工具了,但是这款工具现在又进行了大幅度改进。 AutoSploit= Shodan/Censys/Zoomeye + Metasploit 可能大家之前已经使用过AutpSploit这款自动化漏洞利用工具了,但是这款工具现在又进行了大幅度改进。 AutoSploit是什么? AutoSploit是一款采用Python开发的自动化大...
python实现web应用_【技术分享】利用Python代码实现Web应用的注入
weixin_39658726的博客
11-29 440
稿费:200RMB(不服你也来投稿啊!)投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿漏洞概述如果你的Web应用中存在Python代码注入漏洞的话,攻击者就可以利用你的Web应用来向你后台服务器的Python解析器发送恶意Python代码了。这也就意味着,如果你可以在目标服务器中执行Python代码的话,你就可以通过调用服务器的操作系统的指令来实施攻击了。通过运行操作系统命令...
Python库 | atheris-1.0.11-cp38-cp38-macosx_11_0_x86_64.whl
03-14
atheris是由Google开发的,它的主要目的是帮助测试Python代码的安全性。模糊测试是一种黑盒测试技术,通过生成大量随机输入数据来探测程序可能存在的漏洞和错误。atheris库允许开发者轻松地集成模糊测试到他们的...
Python库 | atheris-2.0.0-cp37-cp37m-macosx_11_0_x86_64.whl
03-14
此外,由于`atheris`是用Python编写并支持Python代码的模糊测试,因此特别适合对Python应用程序进行深入的测试。 总结起来,`atheris`是一个强大的Python模糊测试库,它简化了在Python项目中实施模糊测试的过程,有...
atheris
03-11
它支持模糊化Python代码,还支持为CPython编写的本机扩展。 Atheris基于libFuzzer。 在对本机代码进行模糊处理时,可以将Atheris与Address Sanitizer或Undefined Behavior Sanitizer结合使用,以捕获额外的错误。 ...
test fuzz-03-模糊测试 Atheris A Coverage-Guided, Native Python Fuzzer
01-09 984
它支持对Python代码的模糊测试,还支持为CPython编写的本地扩展。它使用一种称为"基于覆盖率的反馈"(coverage-guided feedback)的方法,通过监视程序的代码覆盖率来引导模糊测试的输入生成。模糊测试是一种自动化测试技术,它通过向程序输入注入随机或半随机的数据(称为"模糊"输入),然后监控程序的执行,以发现潜在的错误、漏洞和安全问题。如果你的模糊测试通过其他方法退出,例如SIGINT(Ctrl+C),Atheris将尝试生成报告,但可能无法生成(具体取决于你的代码)。
介绍几款 Python 类型检查工具
python学习者的博客
10-29 660
近日,微软Github开源了一个 Python 静态类型检查工具:pyright ,引起了社区内的多方关注。 微软开源项目上的参与力度是越来越大了,不说收购 Github 这种大的战略野心,只说它家开源的 VS Code 编辑器,在猿界已经割粉无数,连我们 Python 圈的红人 Kenneth Reitz (多个开源项目的作者,包括 requests、requests-html、res...
plibfuzzer:libfuzzer的并行优化
02-16
plibfuzzer libfuzzer的并行优化
探索Atheris:Google开源Fuzzing框架
最新发布
gitblog_00059的博客
03-26 429
探索Atheris:Google开源Fuzzing框架 atheris项目地址:https://gitcode.com/gh_mirrors/at/atheris 是由Google开源的一个轻量级、跨语言的模糊测试(Fuzzing)框架。模糊测试是一种黑盒软件测试方法,通过生成大量随机输入数据来发现程序中的错误和漏洞Atheris设计的目标是简化模糊测试的集成过程,使得开发者能够轻松地在Py...
通过 Python 为 TensorFlow 编写模糊测试
tensorflowforum的博客
05-14 2178
发布人:Laura Pak,TensorFlow 团队 模糊测试是通过生成的数据测试 API 的过程。模糊测试可确保代码在负向路径中不会中断,从而生成尽量覆盖每条代码分支的随机输入。常见选择是将模糊测试工具与排错程序配对使用,排错程序是用于检查非法情况的工具,因此会标记模糊测试工具输入所触发的错误。 由此,模糊测试可以查找: 缓冲区溢出 内存泄漏 死锁 无限递归 往返一致性错误 未捕获到的异常 等等 最好的模糊测试方式便是持续运行模糊测试。测试运行次数越多,生成及测试的...
gitee 奇安信代码卫士使用
SHELLCODE_8BIT的博客
03-01 4457
使用的是个人版,新建分析,支持选择分支,支持扫描的语言:php、java/jsp、python、c/c++,java 版本最高支持 1.8,点击提交。注册 gitee 账号后,push 一个项目,或者 fork 一个别人的项目,这里 fork 了一个 java-sec-code 靶场。下面有详细的污点数据跟踪、漏洞描述信息、修复建议。在项目的 服务 项下,选择奇安信代码卫士。点击漏洞点,显示源码,sink 点高亮。点击任务名,跳转到风险内容页面。详细的修复建议和示例。
AutoFuzz
Tusaka
10-07 1255
Autofuzz
一些值得学习的Fuzzer开源项目
weixin_40563850的博客
10-25 724
代码】一些值得学习的Fuzzer开源项目。
Bandit:一款Python代码安全漏洞检测工具
06-15 3165
工具介绍 Bandit这款工具可以用来搜索Python代码中常见的安全问题,在检测过程中,Bandit会对每一份Python代码文件进行处理,并构建AST,然后针对每一个AST节点运行相应的检测插件。完成安全扫描之后,Bandit会直接给用户生成检测报告。 工具安装 Bandit使用PyPI来进行分发,建议广大用户直接使用pip来安装Bandit。 创建虚拟环境(可选): virt...
Google Authenticator的Java示例
weixin_34060299的博客
06-15 1375
2019独角兽企业重金招聘Python工程师标准>>> ...
ERROR: Could not build wheels for atheris, which is required to install pyproject.toml-based projects
10-31
这个错误提示表明在安装pyproject.toml-based项目时,需要安装atheris这个包,但是无法构建atheris的wheel文件。解决这个问题的方法是安装atheris的依赖项,例如在Linux系统上,你可以使用以下命令安装atheris的依赖项: sudo apt-get install python3-dev libffi-dev build-essential 如果你使用的是Windows系统,你可以在安装Microsoft Visual C++ Build Tools之后,使用以下命令安装atheris的依赖项: pip install cffi 安装完依赖项后,再次尝试安装atheris包,应该就可以成功了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值