python代码审计案例_【一起玩蛇】Python代码审计中的那些器I

最新推荐文章于 2024-07-14 11:02:56 发布
最新推荐文章于 2024-07-14 11:02:56 发布
阅读量276 收藏
点赞数
文章标签: python代码审计案例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39673037/article/details/113969542
版权
本文介绍了Python代码审计工具Bandit、PyVulHunter和Cobra的环境部署、静态扫描及结果分析,通过实例展示了如何使用这些工具进行代码安全审查,强调了综合使用和人工审计的重要性。
摘要由CSDN通过智能技术生成

曾今向前辈请教过,如何学习代码审计;

曾今向大牛问起过,如何学好代码审计……

得到的答案总是出乎的一致:多读,多审,多写;php,python,java;变量,函数,框架;赋值,传递,覆盖;……只要用心,就能学好。其实很多看起来很专的技术,只要把心静下来,用心去学习--总结--沉淀,就一定不会差。

1、前言

作为【一起玩蛇】系列的文章,突发奇想到python代码审计。纵观目前主流的代码审计,关于审计PHP的文章很多,java代码的也逐渐增加,至于python相关的却相对较少。本文作为开篇,首先介绍一些python代码审计工具及使用相关感受,包括bandit、pyvulhunter、cobra等。Python代码审计资源包括但不仅限于:

Python安全编码和代码审计(http://xxlegend.com/2015/07/30/Python%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%92%8C%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/)

Python eval的常见错误封装及利用原理(http://xxlegend.com/2015/07/31/Python%20eval%E7%9A%84%E5%B8%B8%E8%A7%81%E9%94%99%E8%AF%AF%E5%B0%81%E8%A3%85%E5%8F%8A%E5%88%A9%E7%94%A8%E5%8E%9F%E7%90%86/)

Code Review For Python-Based Web Apps(Code Review For Python-Based Web Apps)

Django安全最佳实践(http://www.atjiang.com/2scoopsdjango1.8-26-security-best-practices/)

2、bandit

2.1 项目地址

2.2 环境部署

操作系统  Kali2.0 Rolling

语言环境  python 2.7.13 (该工具适用于Py2.x或Py3.x)

(1)创建虚拟环境

virtualenv bandit-env

3523da566c92c4d4654dfec508622802.png

(2)安装bandit

pip install bandit

b5b5c35d256a8fbbe98e6fdd8684ddf9.png

2.3 静态扫描

安装成功后,直接执行bandit -r code’s path

bandit -r /home/Yxiu/Desktop/xxyy

630ab713e68598c201ea69de65c6b5a8.png

可以添加

-f 参数指明文件格式  {csv,custom,html,json,screen,txt,xml,yaml}

-o 将扫描结果保存本地 {OUTPUT_FILE}

bandit -r /home/Yxiu/Desktop/xxyy -f html -o xxyy.html

4c2cbecfdb66fdf74095e21395ab1835.png

2.4 结果分析

如果没有指定格式输出报告,则可以在运行界面查看静态扫描结果,包括漏洞级别、代码路径、修复意见等。

6f22499f71a82db197c75b3c57e60c3d.png

如果不清楚漏洞,可以访问More Info继续查看并在搜索框中搜索B101:

http://docs.openstack.org/developer/bandit/plugins/assert_used.html

e6f0ea2ed2c7f11a6d2a482abe69e1fc.png

3、pyvulhunter

3.1 项目地址

https://github.com/shengqi158/pyvulhunter

3.2 环境部署

直接下载到本地,运行judge_injection.py即可

592d08b2aac8bea3f1f778b82a34cf98.png

3.3 静态扫描

运行脚本judge_injection.py,使用帮助参数-h

pythonjudge_injection.py -h

968268b2eb903b00314b491aae450f3a.png

根据提示对代码尝试进行SQL注入扫描,

pythonjudge_injection.py -s -d /home/Yxiu/Desktop/xxyy

f4bfb647cc0b8312090880f07e3c6f43.png

3.4 结果分析

查看终端界面中返回的内容,主要是一些untrited_func_name、func,record_param等信息,结合源码判断不存在危险函数与参数。

4ead2f19e5d3baabbbeb9eda3386139c.png

4、cobra

4.1 项目地址

https://github.com/WhaleShark-Team/cobra

4.2 环境部署

Kali-rolling中进行最新cobra的部署

6b76ffec68e1f29bf65075b60fd3a046.png

4.2.1 安装特殊依赖

apt-get installflex bison

ae2878bda8883c9693597279ef7c4c29.png

4.2.2 下载安装cobra

git clonehttp://github.com/WhaleShark-Team/cobra.git && cd cobra

pip install -r requirements.txt

99ea0000bf5efbd8046627261cae30f5.png

4.3 静态扫描

最新版cobra安装部署已经很简单,直接执行cobra.py文件查看运行方式

python cobra.py --help

794a7d1f42b4616383d35555191f31f9.png

使用server版本运行:python cobra.py -H 127.0.0.1 -P 8888

670f7c0067838fb0bbb934eefa96c380.png

cf479e22a9c2ad399e0023c16cab96c7.png

打开浏览器,本地即可访问http://127.0.0.1:8888/

339a6977f8478420a4b8d7e64f622371.png

上传压缩源码包时,报错:Nosection:’cobra’

980b08f8193c69703727691fb4306d8a.png

No section:‘upload’

633dbb0b0fc50a14f714b5805ec30dfa.png

经过和作者沟通,需要配置config文件。(http://cobra.feei.cn/config)

e56017022a5c00b045071091c6bd6043.png

再次上传成功,且上传页面后跳转至报告页面http://127.0.0.1:8888/?t=&sid=a580fd6rct8h&s_sid=s580fd61s3dd

508ceea8058db9205e41707af07675d5.png

4.4 结果分析

可在命令行查看到扫描结果:

5、初步分析

上面三款工具仅在一个小程序中试用,不能代表各个业务场景,故不能立马做出好坏的判断,不过可以提供下表仅供参考:

在平常的审计工作中,不防用各个工具都跑一边,综合起来看结果。再加上人工参与审计,想必会事半功倍,毕竟python代码审计相对来说还算是稍微简单。

---------------------------- 往期回顾 -----------------------------

【1】

【2】

【3】

【4】

【5】

【6】

【7】

【8】

【9】

【10】

【11】

【12】

【13】

【14】

【15】

【16】

【17】

weixin_39673037
关注
异常检测与定位:LLM的火眼金睛
AI天才研究院
05-02 469
在当今复杂多变的技术环境,异常检测与定位已成为保障系统稳定性和安全性的关键环节。随着大语言模型(Large Language Models,LLMs)的快速发展,这些强大的AI工具正在revolutionize异常检测与定位的传统方法。本文将深入探讨LLM如何成为异常检测与定位领域的"火眼金睛",为各行各业带来前所未有的精准度和效率。异常检测是指识别出与预期模式显著不同的数据点或事件的过程,而异常定位则进一步确定异常的具体位置和原因。
[网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
热门推荐
杨秀璋的专栏
11-12 3万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机学习在安全领域的应用,并复现一个基于机学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。
python审计的应用-【干货】Python自动化审计及实现
weixin_37988176的博客
11-01 1320
在这个语法树构造,body里包含着if构造的语句return HttpResponse("2"),type为Compare表示该构造体为断定语句,left表示左值即源码的type,test构造体则是用来进行if断定,test的ops对应着源码的not in,表示比较断定,comparators则是被比较的元素。如许源码就和Python语法树一一对应起来,有了这些...
Python代码审计实战案例总结之反序列化和命令执行!
爬遍所有网站
04-16 612
介绍 Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成。目前Python代码审计思路,呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行总结,以便于朋友们的学习和参考。 反序列化审计实战 反序列化漏洞在Python代码审计属于常见高危漏洞之一,它的危害性根据执行环境略有不同,本地和远程分别为7.2和10的评分。通过评分也可得知漏洞...
python审计的应用-基于python的自动化代码审计
weixin_37988176的博客
11-01 2557
本文通过介绍在python开发经常出现的常规web漏洞,然后通过静态和动态两种方式对python代码进行自动化审计挖掘漏洞,并且展示自动化系统在自动化审计python应用代码的成果,本文比较长,请耐心阅读,惊喜在后面。从python常规漏洞来看都有一个共同点,那就是危险函数使用了可控参数,如system函数使用到的("mv %s’% filename),如execute函数使用到...
python 财务报表审计_用Python来分析审计行业的这10年
weixin_39748858的博客
11-24 445
昨天我无意间发现了一个新大陆,激动万分。和大家分享一下。这就是TUSHARE PRO它是什么,其实它是一个免费的数据接口,也可以说是量化交易终端平台。https://tushare.pro/register?reg=278100两年前了解了TUSHARE,那个时候它还没有上市公司的财务报表数据,只有指标数据,所以当时只用过聚宽。注册了账号,看到还有财务审计意见的报告。一下激动了。晚上写了14行代码...
Python审计实务与案例分析库毕业设计-附源码211526
weixin_61498557的博客
08-25 548
本文以Python为开发技术,实现了一个审计实务与案例分析库。审计实务与案例分析库的主要使用者管理员功能分为:首页、用户管理、个人心、案例基础、标签维度、分析数据,通过这些功能模块的设计,基本上实现了整个审计实务与案例分析库的过程。 具体在系统设计上,采用了B/S的结构,同时,也使用Python技术在动态页面上进行了设计,后台上采用Mysql数据库,是一个非常优秀的审计实务与案例分析库。 关键词:审计实务与案例分析库;Django框架
程序世界里的不信任原则
阿星君
07-01 336
导语 人与人之间最重要的是信任,但程序的世界里,可能信任越少越好;我越发觉得越是高性能高可用的系统里,不信任原则会体现得更加淋漓尽致。 为了少走弯路,写下这篇文章留给自己参考,其一些是自己踩过的一些坑;一些是接手他人系统时触过的雷;还有一些是从别人分享的经验学习得来;能力有限,先记下自己的一些体会,错误的地方再慢慢改正。 一、编程的世界里十面埋伏 编程,是一件容易的事,也是一件不容易的事。说它容易,是因为掌握一些基本的数据类型和条件语句,就可以实现复杂的逻辑;说它不容易,是因为高性能高可用的代码
idea 调用c#接口_c# api接口开发
weixin_39895977的博客
12-22 1078
如何打造一款标准的 JS SDK ?岳鹰全景监控,是阿里UC官方出品的先进移动应用线上监控平台,为开发者及企业提供一套完整的移动应用线上质量监控解决方案。岳鹰WEB前端监控,可实时监控页面性能、JS异常、资源加载异常、API成功率、自定义错误等异常情况。本文通过岳鹰前端监控SDK的实际案例&...文章温柔的养猫人2020-11-10397浏览量拥抱开源生态:阿里云InfluxDB集成Pro...
Unity3D网络功能的实现与多人游戏开发
它使得玩家可以在不同的设备上通过网络连接一起游玩游戏,实现多人在线游戏的功能。网络功能在游戏开发扮演着连接玩家、实现实时互动、同步游戏数据等重要作用。 ## 1.2 网络功能的分类与常用技术介绍 网络功能...
python动态代码审计
08-30
kcon议题《python 动态代码审计》,我已经将上面的所提到的技术广泛的用在我自己的工作之,为我自己节省了大量的时间和精力。并且通过比较多实践,我把一些繁琐的过程和步骤做了简化,也填了大大小小的坑。与此同时,我找到了公司内部产品出现的大大小小的漏洞,虽然这些漏洞没办法分享出来,但是我希望大家能从我今天分享的议题学到一些有用的东西。这个议题里面提到的有些技术也可以用到php,go,ruby等语言里面。后续我也会把这个ppt内容发到我的博客,如果大家有什么问题和想法,欢迎在csdn上私信我,或者在我的留言板留言
python 测试app漏洞_Python代码审计实例三则
weixin_42171208的博客
12-20 340
目录一、SQL盲注二、身份认证逻辑三、条件竞争突然发现,笔者接触代码审计工作也有一年半的时间了,经历的大大小小的代码审计项目百余项,但是并没有好好的研究过关于python代码审计内容,或者说python有什么需要审计的呢?fortify拓展插件貌似也支持python审计,至少原版我没成功过。但,前不久一个小伙伴还是问了我python代码审计的问题,code终究还是code,万变不离其宗...
代码审计python代码审计汇总(持续更新
最新发布
黑战士的博客
07-14 1131
的。
python应用内部审计_基于大数据技术提升内部审计质量的路径
weixin_39724469的博客
12-24 659
龙源期刊网http://www.qikan.com.cn基于大数据技术提升内部审计质量的路径作者:彭德锦方智来源:《国内部审计》2019年第07期[摘要]随着大数据等新技术的日益发展与应用,传统内部审计方法难以满足商业银行内部审计的需求,大数据技术为内部审计的方法、思路创新提供了充分条件。本文对商业银行基于大数据技术提升内部审计质量的路径进行探索,指出利用大数据技术提高内部审计效率与质量具有重要...
python vba 审计_审计工作有哪些 Excel VBA 的应用?
weixin_39711348的博客
12-09 585
谢邀。不过说来惭愧,虽然我也算是会计科班出身,但多年来主要是在计算机领域工作。唯一能跟审计沾上边的,就是从2004年开始的讲授高校信息系统审计(IT审计)课程、给银行做IT审计咨询,以及后来曾经短期在TD银行做Senior IT Auditor的经历。所以我就单纯从IT审计的视角介绍一下自己的感受,算是对前各位的精彩回答的补充。一般说来,审计过程主要包括 审计规划、风险评估、控制测试、实质性测试、...
代码审计---语言特性(python
m0_53419326的博客
09-25 361
信息安全
python代码审计-osroom
SecINAdmin的博客
12-03 375
原文来自SecIN社区—作者:misakikata osroom 这个cms很有意思,从漏洞和程序的写法上,很适合用来入门学习,漏洞的一些形式相比来说,也比较多一点。 RCE apps\utils\format\obj_format.py 如下,文件采用了eval来转换字符串对象,当json.loads转换失败的时候,则直接使用eval来转换。 def json_to_pyseq(tjson): """ json to python sequencer :param json:
Python系统审计-笔记
煮酒闲谈
01-19 1461
Python系统审计 运维安全 端口开放 1、自定义端口 2、通用端口 弱口令 1、数据库弱口令 2、redis&memcache 3、共享间件 4、Nsf0cus!@# debug开关 1、`\ 2、django settings.py Debug=True svn或git信息泄露 涉密存储传输 1、用base64加密码密码 2、私钥存储
Python自动化审计:识别与防范可控参数风险
在基于Python的自动化代码审计,一个关键的关注点在于识别和管理潜在的安全漏洞。这些漏洞通常源自于危险函数的使用,特别是那些接受用户输入作为可控参数的函数。例如,`system`函数的`('mv%s' % filename)`,`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值