内容 隐藏
1 PYT(Python 污点)
2 强盗
3 平奇
4 意大利面
5 RATS(安全粗略审计工具)
6 阿库内提克斯
7 要求
8 安全
9PyUp
10 结论
10.1 相关出版物:
PYT(Python 污点)
一个开源静态分析工具,用于检测 Python Web 应用程序中的命令注入、阿尔及利亚电话号码库
跨站脚本、SQL 注入、目录横向攻击。 PYT是有理论依据的,如果你想贡献的话,可以加入他们的slack群。
土匪
Bandit 是一项 Open Stack 计划,旨在发现 Python 代码中的常见安全风险。它处理每个文件以构建 AST 并生成报告。您可以使用 pip 安装它。 Bandit的使用可以定制。例如,默认情况下会对所有配置文件进行检查,但是如果您只想检查 ShellInjection,则可以尝试以下操作。
bandit samples/*.py -p ShellInjection
您还可以指定报告基于严重性级别(低、中或高)。
平奇
Pyntch 仅支持 Python 2.x,是一个静态代码分析器,用于检测运行时可能出现的错误。这不是精确的风险搜索,但它对于查看有时可能泄漏敏感信息的运行时异常很有用。它速度很快,能够在一分钟内扫描数千行。
意大利细面条
基于开源 python 的扫描器,用于查找错误配置、不安全文件并支持 CherryPy、CakePHP 等 Web 框架。
Spaghetti 能够检测多种攻击,包括:
暴力破解
信用卡、电子邮件、IP数据的披露
HTML/SQL/LDAP/XPATH/XSS 注入
ShellShock、犯罪、Struts-shock
匿名密码
RATS(安全粗略审计工具)
RATS对 Python、PHP、Perl、C++ 代码进行粗略分析,并突出显示与安全相关的错误,如下所示。
检查时间
使用时间
缓冲区溢出
阿库内蒂克斯
用于测试网络和 Web 应用程序的综合漏洞扫描平台。 Acunetix 检查您的网站是否存在 5,000 多个漏洞,并提供详细的报告以及修复建议。
如果您的Python Web 应用程序暴露在互联网上并且需要深入的安全分析,请尝试使用 Acunetix。
需要
它不是扫描器,但 Requires 监视Python 依赖项安全性,并在检测到过时或易受攻击的组件时通知您。
您可以选择通过添加徽章、通过电子邮件或通过GitHub pull 来接收通知。
安全
Python Dependency Checker, Safety 可以扫描本地虚拟环境、需求文件、stdin 输入是否存在安全问题。
]
pyup
使用 PyUp 的 Python Dependency Security 使您的 Python 应用程序保持最新、兼容且安全。它可以帮助您保护您的代码免受数千个可能破坏 Python 代码的 Python 依赖项漏洞的影响。
您可以使用 PyUp 来自动执行任务,而不是浪费时间手动更新和跟踪每个依赖项。它会自动修补新漏洞并允许您远离已知漏洞以增加对代码的信心。此外,PyUp 维护着一个漏洞数据库,目前记录了 393,800 个 Python 依赖项。它的扫描仪旨在处理复杂的任务并扫描您的文件以查找过时和不安全的要求。
这些扫描器还可以高度定制以满足您的需求,并且它们的安全 CI 可在代码投入生产之前捕获漏洞。将命令行工具集成到您的 CI 工作流程中。以每月 99 美元的价格获得无限的公共和私人存储库,并获得依赖许可证、CVSS、API 密钥和安全 CI。您还可以对您选择的计划进行 7 天免费试用。
