1.前言

从本文开始,我将开始介绍Python源代码审计,代码审计是检查源代码中的安全缺陷,检查源代码是否存在安全隐患,或者编码不规范的地方。通常使用自动化工具或者人工审查的方式,自动化工具效率高,但是误报率也高,并且发现的问题不够深入、全面;人工审查的方式可以全面深入的发现源代码中的安全缺陷,缺点是耗时较长。

2.Bandit安装

Python目前使用的范围很广,但是相关代码审计文章较少,本专栏将全面介绍Python代码审计,以供安全从业者、Python开发者参考,使得系统更加安全、健壮、稳定。

Bandit 是一款 Python 源码分析框架,可用于 Python 代码的安全性分析。Bandit 使用标准库中的 AST 模块,将 Python 源码解析成 Python 语法节点构成的树。Bandit 允许用户编写自定义的测试。测试完成后,Bandit 会生成针对源码的安全报告。

Bandit 安装需要Python环境支持,安装Python3后,执行以下命令:

pip install bandit

安装bandit完成后,执行以下命令:

bandit -r F:\\PythonSpace\\sm\\bank\\ -f html -o 1.html

其中:

F:\\PythonSpace\\sm\\bank\\  为扫描的源码目录

-f html 指定生成html报告,工具支持多种格式,如csv,custom,html,json,screen,txt,xml,yaml。

-o 1.html 指定导出的文件名

3.Bandit使用案例

我们使用bandit扫描一个Python项目,看看它的效果如何。

bandit -r F:\\PythonSpace\\sm\\bank\\ -f html -o 1.html

扫描结果:

可以看到,工具扫到了密码硬编码和SQL注入漏洞,具体就不展开了,将放在下一篇文章中。

《Python代码审计》(1)一款超好用的代码扫描工具相关推荐

  1. SaaSBase:推荐七款超好用的大数据分析工具

    如今,大小企业都可以利用商业智能工具来理解复杂的大数据.通过收集和分析这些数据,并将其转化成易于理解的报告,这些解决方案可以为企业提供有价值的洞察力,从而提高企业利润.SaaSBase(saasbas ...

  2. 网页兼容性测试软件,12款超棒的浏览器兼容性测试工具让你轻松搞定Bug

    原标题:12款超棒的浏览器兼容性测试工具让你轻松搞定Bug Spoon Browser Sandbox 点击你需要测试的浏览器环境,安装插件就可以进行测试了.帮助你测试网页在Safari.Chrome ...

  3. 超好用的代码统计工具——cloc

    超好用的代码统计工具--cloc 因为申请软件著作权的时候需要进行代码统计,所以找了一圈代码统计工具.先找到了SourceCount,似乎不再更新了用不了.然后找到了cloc,操作有点繁琐,以下总结一 ...

  4. 【解锁】flake8——python官方代码扫描工具

    传送门 python官方代码扫描工具 Flake8 是由Python官方发布的一款辅助检测Python代码是否规范的工具,flake8是下面三个工具的封装: PyFlakes Pep8 NedBatc ...

  5. 工具 | 一款小巧好用的代码对比工具

    大家好,我是杂烩君. 本次来给大家分享一款小巧好用的代码对比工具--Meld. Meld简介 Meld是一个 跨平台的 .可视化的.对比及合并工具.它提供文件和目录的双向和三向比较,并支持许多流行的版 ...

  6. 【自动化测试】推荐一款超好用的ui自动化工具--uiautomator2

    今天直接进入正文,给大家推荐一款超级好用的ui自动化工具 uiautomator2 正文来了 我将从以下几个方面,向大家介绍 uiautormator2,希望该项目的作者看到我的文章之后,可以请我喝杯 ...

  7. 又一款超好用开源知识库管理工具

    DevWeekly收集整理每周优质开发者内容,包括开源项目.资源工具.技术文章等方面. 每周五定期发布,同步更新到 知乎:Jackpop . 欢迎大家投稿,提交issue,推荐或者自荐开源项目/资源/ ...

  8. 推荐一款超好用的ui自动化工具--uiautomator2

    给大家推荐一款超级好用的ui自动化工具 uiautomator2 先上目录 简要介绍 实现原理 安装步骤 使用简介 优点缺点 简要介绍 项目地址:https://github.com/openatx/ ...

  9. 8款超赞的最新jQuery插件工具

    jQuery是迄今为止我最喜欢的Javascript框架,开发者用jQuery创造出惊人的视觉效果,以及处理数据,等等. 在这篇文章中,我给所有web开发人员推荐8款超赞的jQuery插件工具. 1. ...

最新文章

  1. 使用sqlplus工具导出数据到csv文件,要求文件带有时间戳
  2. 一个交换机到底能带几台摄像头
  3. sqlserver exec查询存储过程取某一个字段_ORC文件存储格式的深入探究
  4. 某8位微型计算机地址总线为16位,微机原理试题和答案
  5. 23V3有这种C语言表达式吗,数据结构(C语言版第2版_李云清)习题答案2012-12.doc
  6. 把ipa文件上传到服务器,windows电脑上传ipa到appstore的详细流程
  7. scala语言示例_var关键字与Scala中的示例
  8. excel可以处理html吗,处理包含XML/HTML元素的Excel文件
  9. 微信小程序继续入坑指南
  10. [学习笔记]在数据库层面应对并发访问产生的问题
  11. 套料软件XSuperNEST
  12. Cadence Orcad capture导出像Visio规格的图纸图文教程及视频演示
  13. Echarts经纬度数组
  14. linux搭建摄像头,Linux环境下配置虚拟摄像头akvcam
  15. 控制论,计算机设计和思想会议
  16. 涛思数据库(二)——上手使用
  17. 高通android q 通过backtrace,使用addr2ine工具,定位crash问题记录
  18. Windows平台下使用 Rclone 挂载 OneDrive Google Drive 为本地硬盘
  19. 一台服务器控制上百个抖音账号,怎么批量管理上百个抖音,抖音mcn一键高效运营软件...
  20. 开发必备的图片格式——.9图的原理和陷阱

热门文章

  1. CAD中角度如何平分、CAD特性匹配的作用是什么?
  2. 计算机的隐藏功能应用,关于Mac电脑的8个神奇隐藏功能,你知道几个?
  3. 标签打印机打印亚马逊外箱FBA标签
  4. Burg法求解AR(p)模型参数(一)自回归模型
  5. 软件 耗电 android OS 系统,六款安卓平台浏览器耗电量实测
  6. 【油猴脚本】Hypothesis导出为markdown文件
  7. 基于Tensorflow里CNN文本分类
  8. Android4.4r1(KitKat)源码下载地址
  9. Spring5学习笔记------4、JdbcTemplate
  10. python实现简单的求矩阵的逆