python代码审计案例_【一起玩蛇】Python代码审计中的那些器I

最新推荐文章于 2022-08-25 08:33:35 发布
最新推荐文章于 2022-08-25 08:33:35 发布
阅读量226 收藏
点赞数
文章标签: python代码审计案例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39673037/article/details/113969542
版权

曾今向前辈请教过,如何学习代码审计;

曾今向大牛问起过,如何学好代码审计……

得到的答案总是出乎的一致:多读,多审,多写;php,python,java;变量,函数,框架;赋值,传递,覆盖;……只要用心,就能学好。其实很多看起来很专的技术,只要把心静下来,用心去学习--总结--沉淀,就一定不会差。

1、前言

作为【一起玩蛇】系列的文章,突发奇想到python代码审计。纵观目前主流的代码审计,关于审计PHP的文章很多,java代码的也逐渐增加,至于python相关的却相对较少。本文作为开篇,首先介绍一些python代码审计工具及使用相关感受,包括bandit、pyvulhunter、cobra等。Python代码审计资源包括但不仅限于:

Python安全编码和代码审计(http://xxlegend.com/2015/07/30/Python%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%92%8C%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/)

Python eval的常见错误封装及利用原理(http://xxlegend.com/2015/07/31/Python%20eval%E7%9A%84%E5%B8%B8%E8%A7%81%E9%94%99%E8%AF%AF%E5%B0%81%E8%A3%85%E5%8F%8A%E5%88%A9%E7%94%A8%E5%8E%9F%E7%90%86/)

Code Review For Python-Based Web Apps(Code Review For Python-Based Web Apps)

Django安全最佳实践(http://www.atjiang.com/2scoopsdjango1.8-26-security-best-practices/)

2、bandit

2.1 项目地址

2.2 环境部署

操作系统  Kali2.0 Rolling

语言环境  python 2.7.13 (该工具适用于Py2.x或Py3.x)

(1)创建虚拟环境

virtualenv bandit-env

3523da566c92c4d4654dfec508622802.png

(2)安装bandit

pip install bandit

b5b5c35d256a8fbbe98e6fdd8684ddf9.png

2.3 静态扫描

安装成功后,直接执行bandit -r code’s path

bandit -r /home/Yxiu/Desktop/xxyy

630ab713e68598c201ea69de65c6b5a8.png

可以添加

-f 参数指明文件格式  {csv,custom,html,json,screen,txt,xml,yaml}

-o 将扫描结果保存本地 {OUTPUT_FILE}

bandit -r /home/Yxiu/Desktop/xxyy -f html -o xxyy.html

4c2cbecfdb66fdf74095e21395ab1835.png

2.4 结果分析

如果没有指定格式输出报告,则可以在运行界面查看静态扫描结果,包括漏洞级别、代码路径、修复意见等。

6f22499f71a82db197c75b3c57e60c3d.png

如果不清楚漏洞,可以访问More Info继续查看并在搜索框中搜索B101:

http://docs.openstack.org/developer/bandit/plugins/assert_used.html

e6f0ea2ed2c7f11a6d2a482abe69e1fc.png

3、pyvulhunter

3.1 项目地址

https://github.com/shengqi158/pyvulhunter

3.2 环境部署

直接下载到本地,运行judge_injection.py即可

592d08b2aac8bea3f1f778b82a34cf98.png

3.3 静态扫描

运行脚本judge_injection.py,使用帮助参数-h

pythonjudge_injection.py -h

968268b2eb903b00314b491aae450f3a.png

根据提示对代码尝试进行SQL注入扫描,

pythonjudge_injection.py -s -d /home/Yxiu/Desktop/xxyy

f4bfb647cc0b8312090880f07e3c6f43.png

3.4 结果分析

查看终端界面中返回的内容,主要是一些untrited_func_name、func,record_param等信息,结合源码判断不存在危险函数与参数。

4ead2f19e5d3baabbbeb9eda3386139c.png

4、cobra

4.1 项目地址

https://github.com/WhaleShark-Team/cobra

4.2 环境部署

Kali-rolling中进行最新cobra的部署

6b76ffec68e1f29bf65075b60fd3a046.png

4.2.1 安装特殊依赖

apt-get installflex bison

ae2878bda8883c9693597279ef7c4c29.png

4.2.2 下载安装cobra

git clonehttp://github.com/WhaleShark-Team/cobra.git && cd cobra

pip install -r requirements.txt

99ea0000bf5efbd8046627261cae30f5.png

4.3 静态扫描

最新版cobra安装部署已经很简单,直接执行cobra.py文件查看运行方式

python cobra.py --help

794a7d1f42b4616383d35555191f31f9.png

使用server版本运行:python cobra.py -H 127.0.0.1 -P 8888

670f7c0067838fb0bbb934eefa96c380.png

cf479e22a9c2ad399e0023c16cab96c7.png

打开浏览器,本地即可访问http://127.0.0.1:8888/

339a6977f8478420a4b8d7e64f622371.png

上传压缩源码包时,报错:Nosection:’cobra’

980b08f8193c69703727691fb4306d8a.png

No section:‘upload’

633dbb0b0fc50a14f714b5805ec30dfa.png

经过和作者沟通,需要配置config文件。(http://cobra.feei.cn/config)

e56017022a5c00b045071091c6bd6043.png

再次上传成功,且上传页面后跳转至报告页面http://127.0.0.1:8888/?t=&sid=a580fd6rct8h&s_sid=s580fd61s3dd

508ceea8058db9205e41707af07675d5.png

4.4 结果分析

可在命令行查看到扫描结果:

5、初步分析

上面三款工具仅在一个小程序中试用,不能代表各个业务场景,故不能立马做出好坏的判断,不过可以提供下表仅供参考:

在平常的审计工作中,不防用各个工具都跑一边,综合起来看结果。再加上人工参与审计,想必会事半功倍,毕竟python代码审计相对来说还算是稍微简单。

---------------------------- 往期回顾 -----------------------------

【1】

【2】

【3】

【4】

【5】

【6】

【7】

【8】

【9】

【10】

【11】

【12】

【13】

【14】

【15】

【16】

【17】

weixin_39673037
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wcog.rar_python tribon_python 代码_tribon_tribon python
09-22
tribon 抽取重量心的python代码
python审计的应用-【干货】Python自动化审计及实现
weixin_37988176的博客
11-01 1225
在这个语法树构造,body里包含着if构造的语句return HttpResponse("2"),type为Compare表示该构造体为断定语句,left表示左值即源码的type,test构造体则是用来进行if断定,test的ops对应着源码的not in,表示比较断定,comparators则是被比较的元素。如许源码就和Python语法树一一对应起来,有了这些...
Python审计实务与案例分析库毕业设计-附源码211526
weixin_61498557的博客
08-25 475
本文以Python为开发技术,实现了一个审计实务与案例分析库。审计实务与案例分析库的主要使用者管理员功能分为:首页、用户管理、个人心、案例基础、标签维度、分析数据,通过这些功能模块的设计,基本上实现了整个审计实务与案例分析库的过程。 具体在系统设计上,采用了B/S的结构,同时,也使用Python技术在动态页面上进行了设计,后台上采用Mysql数据库,是一个非常优秀的审计实务与案例分析库。 关键词:审计实务与案例分析库;Django框架
python 测试app漏洞_Python代码审计实例三则
weixin_42171208的博客
12-20 286
目录一、SQL盲注二、身份认证逻辑三、条件竞争突然发现,笔者接触代码审计工作也有一年半的时间了,经历的大大小小的代码审计项目百余项,但是并没有好好的研究过关于python代码审计内容,或者说python有什么需要审计的呢?fortify拓展插件貌似也支持python审计,至少原版我没成功过。但,前不久一个小伙伴还是问了我python代码审计的问题,code终究还是code,万变不离其宗...
python文件审计系统_python自动化审计及实现 – xxlegend
weixin_39894104的博客
12-08 462
0x00 摘要Python由于其简单,快速,库丰富的特点在国内使用的越来越广泛,但是一些不好的用法却带来了严重的安全问题,本文从Python源码入手,分析其语法树,跟踪数据流来判断是否存在注入点。关键词: Python 注入 源码 语法树0x01 引言Python注入问题是说用户可以控制输入,导致系统执行一些危险的操作。它是Python比较常见的安全问题,特别是把python作为web应用层的时...
Python代码审计实战案例总结之反序列化和命令执行!
爬遍所有网站
04-16 571
介绍 Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成。目前Python代码审计思路,呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行总结,以便于朋友们的学习和参考。 反序列化审计实战 反序列化漏洞在Python代码审计属于常见高危漏洞之一,它的危害性根据执行环境略有不同,本地和远程分别为7.2和10的评分。通过评分也可得知漏洞...
表白代码.rar_Python 表白_python_python表白代码_表白_表白代码
07-14
Python情人节表白代码,通过编程向心上人表白
千行代码入门python.rar_python_python 代码_python代码_python入门代码_trieduba
09-24
简单易懂的代码教程,一千行代码就学python
基于python的自动化代码审计
02-24
python常规漏洞来看都有一个共同点,那就是危险函数使用了可控参数,如system函数使用到的(‘mv%s’%filename),如execute函数使用到的username参数,如HttpResponse使用到的nickname参数,这些参数直接从...
python四六级英语测单词代码_instantcir_python代码_python_
10-02
python实现四六级英语测单词python代码
python动态代码审计
08-30
kcon议题《python 动态代码审计》,我已经将上面的所提到的技术广泛的用在我自己的工作之,为我自己节省了大量的时间和精力。并且通过比较多实践,我把一些繁琐的过程和步骤做了简化,也填了大大小小的坑。与此同时,我找到了公司内部产品出现的大大小小的漏洞,虽然这些漏洞没办法分享出来,但是我希望大家能从我今天分享的议题学到一些有用的东西。这个议题里面提到的有些技术也可以用到php,go,ruby等语言里面。后续我也会把这个ppt内容发到我的博客,如果大家有什么问题和想法,欢迎在csdn上私信我,或者在我的留言板留言
Spring启动之CommonDefinitionAnnotations(AnnotatedBeanDefinition abd, AnnotatedTypeMetadata metadata) 解析
研究生生活、学习记录
09-17 553
前言 本文旨在分析在Spring容启动之时,针对特定注释的解析需要使用题目所述方法,该方法的寻找路劲为:特定的注释的解析 ①org.springframework.context.annotation.AnnotatedBeanDefinitionReader#registerBean(java.lang.Class<?>) ---> ②org.springframework.context.annotation.AnnotatedBeanDefinitionReader#doR
Python数据分析辅助审计工作
一介貂蝉
06-02 6459
案例背景 问题描述 建立模型 代码和分析结果的展示
python审计运用_Python操作审计策略
weixin_29035147的博客
01-12 786
# 开始时,直接使用secedit(Audit策略)配置文件时,总是无法# 进行比对成功,无论使用find函数还是使用正则匹配。# 后来发现将导出的文件换成其他的文件可以实现目标。# 与“昵称已改”网友的交流,想到自己应该是出错在文件类型。# 对于文件类型的处理则花费了自己两天的时间。# open()函数直接使用(u' ','r')不可以,# ...
Cobra-White 白盒源代码审计工具-白帽子版
Fly_鹏程万里
03-17 2827
Cobra简介 Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码的大部分显著的安全问题和漏洞。Cobra-W是从Cobra2.0发展而来的分支,将工具重心从尽可能的发现威胁转变为提高发现漏洞的准确率以及精度。 Cobra特点 与其他代码审计相比: 静态分析,环境依赖小。 语义分析,对漏洞有效性判断程度更深。 多种语言支持。 开源python实现,更易于二次开发。 与C...
Kali 2 Kali 2018更新源
热门推荐
打代码的小女孩
05-25 1万+
这个源指的是软件源,也就是说你用apt-get install xxx安装软件时,系统下载软件的地方,一般默认为国外的链接,所以速度比较慢,需要换成国内的源   设置kali的更新源。 在终端打开sources.list root@kali:~# vim /etc/apt/sources.list   删除里面的注释,清空。 然后输入下面的更新源地址 deb h...
Linux下安装配置Cobra教程
agent0024的博客
10-22 896
安装环境 Cobra既是用于创建强大的现代CLI应用程序的库,也是用于生成应用程序和命令文件的程序。程序选择Cobra进行命令行的解析,安装环境为ubuntu16.04 Cobra安装 直接使用命令go get -v github.com/spf13/cobra/cobra下载会出现如下错误 Fetching https://golang.org/x/sys/unix?go-get=1...
python 代码审计
最新发布
09-14
Python代码审计是一种对Python代码进行安全性分析的过程。通过对Python代码进行审查,可以发现其的潜在安全漏洞和风险,并提供相应的修复建议。Python代码审计可以帮助安全从业者和Python开发者确保系统的安全性、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值