系统概述

Bandit是一个用于分析Python代码审计安全漏洞的工具,旨在识别常见的安全问题,如硬编码密码、不安全的函数调用、SQL注入等。它通过构建抽象语法树(AST)并对节点运行适当的插件来检测潜在的安全问题。Bandit最初由OpenStack安全项目开发,后来迁移到PyCQA(Python代码质量权威)维护。

系统架构

Bandit的核心架构包括以下几个主要组件:

  1. AST解析器:Bandit通过解析Python代码生成AST,并在AST节点上运行插件来检测安全问题。
  2. 插件系统:Bandit通过插件系统扩展其检测能力,每个插件负责检测特定的安全问题。插件可以通过配置文件进行管理,支持黑名单和白名单机制。
  3. 配置文件:Bandit使用YAML格式的配置文件来定义检测规则、插件设置和输出格式。
  4. 报告生成器:Bandit支持多种输出格式,包括CSV、JSON、HTML、XML等,用户可以根据需求选择合适的格式生成安全报告。

核心技术点

  1. AST解析与节点遍历:Bandit通过Python的ast模块解析代码并生成AST,然后遍历AST节点,调用相应的插件进行检测。
  2. 插件机制:Bandit的插件机制是其核心功能之一,每个插件负责检测特定的安全问题。插件通过@test_properties装饰器注册,并定义检测逻辑。
  3. 黑名单与白名单:Bandit支持通过黑名单和白名单机制来过滤检测结果。黑名单用于标记已知的不安全函数调用或模块导入,白名单则用于排除误报。
  4. 配置文件管理:Bandit使用YAML配置文件来管理检测规则和插件设置,用户可以通过配置文件自定义检测行为。
  5. 多种输出格式:Bandit支持多种输出格式,用户可以根据需求生成不同格式的安全报告,便于集成到CI/CD流程中。

核心代码分析

AST解析与插件调用

from bandit.core import manager

   b_mgr = manager.BanditManager(config, agg_type)

   b_mgr.run_tests()

这段代码展示了Bandit如何通过

BanditManager类管理AST解析和插件调用。

插件定义

@test_properties.checks('Call')

   @test_properties.test_id('B102')

   def exec_used(context):

       if context.call_function_name_qual == 'exec':

           return bandit.Issue(

               severity=bandit.MEDIUM,

               confidence=bandit.HIGH,

               cwe=issue.Cwe.OS_COMMAND_INJECTION,

               text='Use of exec detected.',

           )

这段代码定义了一个检测

exec函数使用的插件,当检测到

exec函数调用时,会返回一个安全问题。

配置文件示例

include:

       - '*.py'

   profiles:

       test:

           include:

               - start_process_with_a_shell

   shell_injection:

       subprocess: []

       shell:

           - os.system

这个配置文件定义了检测规则,指定了需要检测的文件类型和插件。

应用场景

Bandit适用于以下场景:

  1. 代码审查:在代码提交前,使用Bandit进行静态分析,识别潜在的安全漏洞。
  2. CI/CD集成:将Bandit集成到CI/CD流水线中,自动检测代码中的安全问题。
  3. 安全审计:定期对代码库进行安全审计,确保代码符合安全最佳实践。
  4. 开发环境:在开发过程中,实时检测代码中的安全问题,帮助开发者及时修复漏洞。

应用测试

  1. 安装bandit
测试环境 ubuntu 22.04

打开terminal

git clone https://github.com/PyCQA/bandit.git   //下载bandit项目

cd bandit

sudo python setup.py install  //安装bandit

如果安装过程有缺失其他模块,则先安装缺失的模块即可

下载一个带有python安全漏洞分险的项目 这里我用的Vulnerable-Flask-App项目

执行 bandit /home/chendong/bandit/Vulnerable-Flask-App/app/app.py 审计指定的.py源代码文件

总结

Bandit是一个功能强大的Python代码安全分析工具,通过AST解析和插件机制,能够有效识别代码中的常见安全问题。其灵活的配置和多种输出格式使其易于集成到现有的开发流程中,帮助开发者和安全团队提高代码的安全性。

github链接地址:https://github.com/PyCQA/bandit.git

需要漏洞测试项目的朋友可以在公众号回复"Vulnerable-Flask-App"获取带有安全漏洞的python项目进行测试。

Bandit Python代码审计漏洞检测工具实战的更多相关文章

  1. Metasploit是一款开源的安全漏洞检测工具,

    Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,适合于需要核实漏洞的安全专家,同时也适合于强大进攻能力的 ...

  2. 基于Python3的漏洞检测工具 ( Python3 插件式框架 )

    目录 Python3 漏洞检测工具 -- lance screenshot requirements 关键代码 usage documents Any advice or sugggestions P ...

  3. Retina CS强大漏洞检测工具

    RetinaCS强大漏洞检测工具 Eeye数字安全公司成立于上世纪九十年代末期,它是世界领先的安全公司,它采用最新研究成果和创新技术来保证您的网络兄系统安全,并向您提供最强大的如下服务:全面的.漏洞评 ...

  4. 文件包含漏洞检测工具fimap

    文件包含漏洞检测工具fimap   在Web应用中,文件包含漏洞(FI)是常见的漏洞.根据包含的文件不同,它分为本地文件包含漏洞(LFI)和远程文件包含漏洞(RFL).利用该漏洞,安全人员可以获取服务 ...

  5. python S2-45 漏洞利用工具

    初学python脚本,写个工具练练手.第一次写勿喷.呃...忘了截图了,补上了. 程序对于处理 JSON post 有些问题,其他地方还没发现有啥问题. #coding:utf-8 import ch ...

  6. CMS漏洞检测工具 – CMSmap

    CMSmap是一个Python编写的针对开源CMS(内容管理系统)的安全扫描器,它可以自动检测当前国外最流行的CMS的安全漏洞. CMSmap主要是在一个单一的工具集合了不同类型的CMS的常见的漏洞. ...

  7. 基于Python的邮件检测工具

    邮件快速检测工具 概要介绍 mmpi,是一款使用python实现的开源邮件快速检测工具库,基于community框架设计开发.mmpi支持对邮件头.邮件正文.邮件附件的解析检测,并输出json检测报告 ...

  8. python打造文件包含漏洞检测工具

    0x00前言: 做Hack the box的题.感觉那个平台得开个VIp 不然得凉.一天只能重置一次...mmp 做的那题毒药是文件包含漏洞的题,涉及到了某个工具 看的不错就开发了一个. 0x01代码 ...

  9. Python-编写一个mysql注入漏洞检测工具

    判断mysql网站是否存在注入漏洞的几个方法: 注入点后加上一个单引号会报错 and 1=1返回正常页面,and 1=2返回的页面不同于正常页面 and sleep(3) 网页会等待3秒左右 根据返回 ...

  10. Redis未授权漏洞检测工具

    Redis未授权检测小工具 #!/usr/bin/python3 # -*- coding: utf-8 -*- """ @Author: r0cky @Time: 20 ...

随机推荐

  1. 【Git】fatal: refusing to merge unrelated histories

    git pull origin master --allow-unrelated-histories

  2. 优化永不止步:TinyVue v3.20.0 正式发布,更美观的官网UI,更友好的文档搜索,更强大的主题配置能力~

    你好,我是 Kagol,个人公众号:前端开源星球. 我们非常高兴地宣布,2024年12月4日,TinyVue 发布了 v3.20.0 . 本次 3.20.0 版本主要有以下重大变更: OpenTiny ...

  3. 题解:AT_abc385_f [ABC385F] Visible Buildings

    小学二年级就会的基本一次函数知识. 抽象一下题意: 求 \(n\) 个点 \((X_i, H_i)\) 中任意两个点组成的直线的截距的最大值(不小于 \(0\),\(X_i\) 递增). 先说结论:先 ...

  4. 前端(三)-JavaScript

    1.基本语法 1.1 引入JavaScript 1.1.1行内引入 <input type="button" value="轻轻点我一下" onclick ...

  5. SequoiaDB数据库-new数据库

    随着企业中日益复杂与多变的需求,以及迅速扩展带来的海量数据的业务,IT部门需要将越来越多的信息提供给用户,同时在现今的全球经济背景环境下,IT部 门还需要在提供高效服务的同时,降低其设备与程序维护成本 ...

  6. H5调用手机拨打电话的功能

    里面加上: 我没有写也是可以的 <meta name="format-detection" content="telephone=yes"/> 该标 ...

  7. JAVA8——StringJoiner类

    引言:在阅读项目代码是,突然看到了StringJoiner这个类的使用,感觉很有意思,对实际开发中也有用,实际上是运用了StringBuilder的一个拼接字符串的封装处 介绍 StringJoine ...

  8. Java虚拟线程探索

    在Java 21中,引入了虚拟线程,这是一个非常非常重要的特性,之前一直苦苦寻找的Java协程,终于问世了.在高并发以及IO密集型的应用中,虚拟线程能极大的提高应用的性能和吞吐量. ## 什么是虚拟线 ...

  9. linux mint安装微信

    sudo apt install snapd snappy sudo snap install electronic-wechat deepin-music 安装微信与深度音乐

  10. FLink自定义Kafka Source,处理后转发给下一个kafka topic

    一.依赖配置 pom文件:https://www.cnblogs.com/robots2/p/16048648.html kafka单机版安装:https://www.cnblogs.com/robo ...