1. 帝一玩创业网首页
  2. 专栏

漏洞扫描工具有哪些(常用web漏洞扫描工具推荐)

雷电将军 专栏 阅读 85

关于pip-audit pip-audit是一款功能强大的安全漏洞扫描工具,该工具主要针对Python环境,可以帮助广大研究人员扫描和测试Python包中的已知安全漏洞。pip-audit使用了PythonPackagingAdvisory数据库PyPIJSONAPI作为漏洞报告源。 功能介绍 1、支持对本地环境和依赖组件(requirements风格文件)进行安全审计;2、支持多种漏洞服务(Py…

有关pip-audit

pip-audit是一款功能齐全的安全性漏洞扫描工具,该工具关键对于Python环境,可以协助众多科学研究工作人员扫描仪和检测Python库中的已经知道网络安全问题。pip-audit应用了PythonPackagingAdvisory数据库查询PyPIJSONAPI做为系统漏洞汇报源。

功能介绍

1、支持对当地环境和依靠部件(requirements设计风格文档)开展网络安全审计;

2、支持多种多样系统漏洞服务项目(PyPI、OSV);

3、支持以CycloneDX XML或JSON格式推送SBOM;

4、给予人们和设备均可读的輸出格式(columnar、JSON);

5、无缝拼接连接 / 器重当地pip缓存文件;

工具安装

pip-audit根据Python开发设计,且规定当地环境为Python 3.7或更新版本。安装并配备好Python环境以后,就可以应用以下指令并根据pip来安装pip-audit了:

python -m pip install pip-audit

第三方包

pip-audit的正常的运作必须应用到好几个第三方包,实际部件包名字和版本号如下图所示:

pip-audit:功能强大的安全漏洞扫描工具

此外,大家也可以根据conda来安装pip-audit:

conda install -c conda-forge pip-audit

工具应用

我们可以立即将pip-audit以单独程序执行,或根据“python -m”运作:

pip-audit --help

python -m pip_audit --help

usage: pip-audit [-h] [-V] [-l] [-r REQUIREMENTS] [-f FORMAT] [-s SERVICE]

                 [-d] [-S] [--desc [{on,off,auto}]] [--cache-dir CACHE_DIR]

                 [--progress-spinner {on,off}] [--timeout TIMEOUT]

                 [--path PATHS] [-v] [--fix] [--require-hashes]

audit the Python environment for dependencies with known vulnerabilities

optional arguments:

  -h, --help            show this help message and exit

  -V, --version         show program\'s version number and exit

  -l, --local           show only results for dependencies in the local

                        environment (default: False)

  -r REQUIREMENTS, --requirement REQUIREMENTS

                        audit the given requirements file; this option can be

                        used multiple times (default: None)

  -f FORMAT, --format FORMAT

                        the format to emit audit results in (choices: columns,

                        json, cyclonedx-json, cyclonedx-xml) (default:

                        columns)

  -s SERVICE, --vulnerability-service SERVICE

                        the vulnerability service to audit dependencies

                        against (choices: osv, pypi) (default: pypi)

  -d, --dry-run         without `--fix`: collect all dependencies but do not

                        perform the auditing step; with `--fix`: perform the

                        auditing step but do not perform any fixes (default:

                        False)

  -S, --strict          fail the entire audit if dependency collection fails

                        on any dependency (default: False)

  --desc [{on,off,auto}]

                        include a description for each vulnerability; `auto`

                        defaults to `on` for the `json` format. This flag has

                        no effect on the `cyclonedx-json` or `cyclonedx-xml`

                        formats. (default: auto)

  --cache-dir CACHE_DIR

                        the directory to use as an HTTP cache for PyPI; uses

                        the `pip` HTTP cache by default (default: None)

  --progress-spinner {on,off}

                        display a progress spinner (default: on)

  --timeout TIMEOUT     set the socket timeout (default: 15)

  --path PATHS          restrict to the specified installation path for

                        auditing packages; this option can be used multiple

                        times (default: [])

  -v, --verbose         give more output; this setting overrides the

                        `PIP_AUDIT_LOGLEVEL` variable and is equivalent to

                        setting it to `debug` (default: False)

  --fix                 automatically upgrade dependencies with known

                        vulnerabilities (default: False)

  --require-hashes      require a hash to check each requirement against, for

                        repeatable audits; this option is implied when any

                        package in a requirements file has a `--hash` option.

                        (default: False)

撤出编码

任务完成后, pip-audit可能撤出运作,并回到一个编码以展现其情况,在其中:

0:未监测到已经知道系统漏洞;

1:检验到了一个或数个已经知道系统漏洞;

工具应用示例

财务审计现阶段Python环境中的依靠:

$ pip-audit

No known vulnerabilities found

财务审计给出requirements文件的依靠:

$ pip-audit -r ./requirements.txt

No known vulnerabilities found

财务审计一个requirements文件,并清除系统软件包:

$ pip-audit -r ./requirements.txt -l

No known vulnerabilities found

财务审计依靠中发觉的网络安全问题:

$ pip-audit

Found 2 known vulnerabilities in 1 package

Name  Version ID             Fix Versions

----  ------- -------------- ------------

Flask 0.5     PYSEC-2019-179 1.0

Flask 0.5     PYSEC-2018-66  0.12.3

审计依赖(包含描述):

$ pip-audit --desc

Found 2 known vulnerabilities in 1 package

Name  Version ID             Fix Versions Description

----  ------- -------------- ------------ --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Flask 0.5     PYSEC-2019-179 1.0          The Pallets Project Flask before 1.0 is affected by: unexpected memory usage. The impact is: denial of service. The attack vector is: crafted encoded JSON data. The fixed version is: 1. NOTE: this may overlap CVE-2018-1000656.

Flask 0.5     PYSEC-2018-66  0.12.3       The Pallets Project flask version Before 0.12.3 contains a CWE-20: Improper Input Validation vulnerability in flask that can result in Large amount of memory usage possibly leading to denial of service. This attack appear to be exploitable via Attacker provides JSON data in incorrect encoding. This vulnerability appears to have been fixed in 0.12.3. NOTE: this may overlap CVE-2019-1010083.

审计JSON格式依赖:

$ pip-audit -f json | jq

Found 2 known vulnerabilities in 1 package

[

  {

    \"name\": \"flask\",

    \"version\": \"0.5\",

    \"vulns\": [

      {

        \"id\": \"PYSEC-2019-179\",

        \"fix_versions\": [

          \"1.0\"

        ],

        \"description\": \"The Pallets Project Flask before 1.0 is affected by: unexpected memory usage. The impact is: denial of service. The attack vector is: crafted encoded JSON data. The fixed version is: 1. NOTE: this may overlap CVE-2018-1000656.\"

      },

      {

        \"id\": \"PYSEC-2018-66\",

        \"fix_versions\": [

          \"0.12.3\"

        ],

        \"description\": \"The Pallets Project flask version Before 0.12.3 contains a CWE-20: Improper Input Validation vulnerability in flask that can result in Large amount of memory usage possibly leading to denial of service. This attack appear to be exploitable via Attacker provides JSON data in incorrect encoding. This vulnerability appears to have been fixed in 0.12.3. NOTE: this may overlap CVE-2019-1010083.\"

      }

    ]

  },

  {

    \"name\": \"jinja2\",

    \"version\": \"3.0.2\",

    \"vulns\": []

  },

  {

    \"name\": \"pip\",

    \"version\": \"21.3.1\",

    \"vulns\": []

  },

  {

    \"name\": \"setuptools\",

    \"version\": \"57.4.0\",

    \"vulns\": []

  },

  {

    \"name\": \"werkzeug\",

    \"version\": \"2.0.2\",

    \"vulns\": []

  },

  {

    \"name\": \"markupsafe\",

    \"version\": \"2.0.1\",

    \"vulns\": []

  }

]

【一>全部資源关注我,私聊回应“材料”获得<一】
1、网络安全学习线路
2、电子书(白帽)
3、安全性大型厂内部结构短视频
4、100份src文本文档
5、普遍安全性面试问题
6、ctf大赛經典题型分析
7、整套工具箱
8、应急处置手记

审计并试着全自动审计存有系统漏洞的依赖:

$ pip-audit --fix

Found 2 known vulnerabilities in 1 package and fixed 2 vulnerabilities in 1 package

Name  Version ID             Fix Versions Applied Fix

----- ------- -------------- ------------ ----------------------------------------

flask 0.5     PYSEC-2019-179 1.0          Successfully upgraded flask (0.5 => 1.0)

flask 0.5     PYSEC-2018-66  0.12.3       Successfully upgraded flask (0.5 => 1.0)

许可证书协议书

本工程项目的研发与公布遵循 Apache 2.0开源系统许可证书协议书。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
雷电将军雷电将军
0
上一篇 2022年5月3日 上午11:09
下一篇 2022年5月3日 上午11:11

相关推荐

  • 家用电脑什么品牌好,2020四大主流品牌电脑推荐 专栏

    家用电脑什么品牌好,2020四大主流品牌电脑推荐

    大家好,今天分享一篇来自装机吧官网(zhuangjiba.com)的图文教程。哪些牌子的笔记本电脑比较好?随着技术水平的提高,笔记本电脑的性能正变的越来越强劲,可以满足更多用户的需求。下面就和大家分享一些比较优秀的笔记本电脑品牌,感兴趣的朋友可以了解一下。 联想(Lenovo) 联想是我国老牌pc制造企业,在国内的渠道和售后非常完善,相信不少网友人生中的第一台电脑用的就是联想电脑。联想是目前全世界…

    2022年9月16日
    450
  • 洗碗机哪个牌子好,洗碗机十大名牌推荐 专栏

    洗碗机哪个牌子好,洗碗机十大名牌推荐

    随着人们生活水平的提高,洗碗机也渐渐走进的了人们的生活当中。平时为了谁来洗碗而吵架的小夫妻,一下就找到了家庭和睦新神器。可是市面上洗碗机品牌众多,各种式样层出不穷,我们到底该如何选择洗碗机呢?接下来,我们对洗碗机市场进行一一盘点,看看2019年洗碗机最新十大排名。 1、斐纳TOMEFON 斐纳TOMEFON源自德国,创建于1976年,是室内净化领域成功的开拓者和领航者。在40多年的发展历程中,斐纳…

    2022年5月26日
    570
  • 珠宝营销策划方案怎么做,掌握经营3大秘诀与成交6步法营销 专栏

    珠宝营销策划方案怎么做,掌握经营3大秘诀与成交6步法营销

    关于珠宝品牌策划应该怎么做,如何做好珠宝品牌营销策划方案,谈到珠宝品牌策划这个具有思想性的价值话题,对于许许多多的珠宝企业来讲有着非比寻常的作用和意义了。珠宝行业可谓是真正卖思想价值观的行业。珠宝品牌策划的层次与思想精神层面的契合程度,将影响到整个珠宝品牌的发展前途和未来市场空间。 那么珠宝行业品牌在如此激烈的市场竞争下,如何才能做好珠宝品牌营销策划?上海沅熠营销策划师为想要做好珠宝品牌的企业解答…

    2022年6月14日
    560
  • 女性创业故事案例分析,有哪些适合女性小本创业项目 专栏

    女性创业故事案例分析,有哪些适合女性小本创业项目

    文/创业行动家飞哥 大多数女性创业者,都在做与女人、孩子有关的创业项目,这些领域女性具备天然优势。然而,无论女性、男性,还是大学生创业,都要学会发挥自己的独特优势。 一位女性朋友是做微商的,与一般微商不同的是,她走的是卖货路线,而非仅仅靠发展代理商来赚钱。即便如今微商圈整体口碑很差的情况下,她的事业还是做的蒸蒸日上。现在把总部迁移到了中国第一高楼上海中心大厦39层,公司还获得中国民生投资集团注资本…

    2022年5月18日
    810
  • 入耳式蓝牙耳机排行榜(五款重低音强劲的蓝牙耳机) 专栏

    入耳式蓝牙耳机排行榜(五款重低音强劲的蓝牙耳机)

    蓝牙耳机的佩戴方式,分为半入耳式和入耳式两种,入耳式有更好的隔音,能打造一个密闭的环境,有被动降噪的效果,市面上绝大部分蓝牙耳机都是采用入耳式的佩戴方式。而蓝牙耳机最重要的一个性能,就是蓝牙性能,连接距离、延迟程度、连接稳定性对于我们使用蓝牙耳机都是尤其重要的,今天的蓝牙耳机排行榜就是以蓝牙性能为指标,推荐五款超能打的蓝牙耳机。 第一款:JEETAirPlus蓝牙耳机 蓝牙性能:延迟超低、高通芯片…

    2022年9月17日
    610
  • 电视遥控器失灵怎么办,遥控器失灵解决办法 专栏

    电视遥控器失灵怎么办,遥控器失灵解决办法

    家里都会有各种遥控器,比如电视遥控器和空调遥控器,特别是电视遥控器几乎每天都要用到,但是遥控器用久了就会出现某几个按键不灵敏或者没用的情况。很多人以为是电池坏了,其实很多时候是里面的橡胶按键和电路板接触不良造成的,花钱去换一个新的也麻烦,毕竟遥控器很多都是配套来的。其实根本不用花一分钱,就可以把遥控器变得和新的一样灵敏。今天就教大家一个修复遥控器失灵的小窍门,一起来跟我学习一下吧! 窍门步骤如下:…

    2022年7月23日
    1180
  • 美国名牌大学前十名分别是哪些,美国各地区一流大学名单公布 专栏

    美国名牌大学前十名分别是哪些,美国各地区一流大学名单公布

    《美国新闻与世界报导》(U.S. News&WorldReport),在过去的30年里,该机构每年都对美国众多大学进行调查和研究,之后给出排名。今年,《U.S. News&World Report美国新闻》分析了近1,400所学校的数据,包括学生成绩、班级规模和每个学生的支出,发现排名靠前的学校有一点都做得很好:学生按时毕业。 根据《U.S.News&WorldReport…

    2022年9月3日
    600
  • 电路图绘制软件有哪些(电子元件型号参数查询工具) 专栏

    电路图绘制软件有哪些(电子元件型号参数查询工具)

    大家都知道,AltiumDesigner这一款是中国工程师最常用的电路绘制软件了,但是由于钓鱼执法等,需要你花费十几万的软件授权费用,你花得起吗?虽然网上有很多的破解版,但是这类他会发送数据包给公司,当你在使用他的时候,不经意间可能就会给你发一份律师函。 这里就跟大家介绍一款国产的软件:立创EDA。 他其实学起来也简单,2小时就可以入门吧,2天就可以精通,目前全球也有至少一千多所的学校针对性地对立…

    2022年5月12日
    1900
  • ssl证书有什么用,https免费证书申请方法 专栏

    ssl证书有什么用,https免费证书申请方法

    SSL证书,是数字证书的一种,由CA(电子认证服务机构)发布的一种电子文档,能够对网络用户在计算机网络交流中的信息和数据以加密或解密的形式,保证信息和数据的完整性和安全性。如果觉得生硬,可以理解为开车需要驾驶证,网上冲浪有SSL证书,网站更符合规范,更安全,简单来说就是具有服务器身份验证和数据加密功能。 那么如何判断网站是否具有SSL证书? 具有SSL证书的网站,一般符合两个特点,一是http会变…

    2022年7月27日
    520
  • 华为手机代言人都有谁,盘点华为广告那些大牌明星们 专栏

    华为手机代言人都有谁,盘点华为广告那些大牌明星们

    华为虽然也有代言人,但是不关注华为的不知道,一关注就发现其代言人一个比一个大牌。而且更多是实力与颜值在线! 里奥·梅西 梅西,世界知名阿根廷足球前锋运动员。其知名度传遍大街小巷,即使不是足球迷,也会有很多人听过梅西二字。所以,身价自是不会低。华为聘请梅西作为华为mate8全球形象代言大使,引起了不小的轰动。 张艺兴、关晓彤 张艺兴,知名歌手、演员,凭借着超强实力打破小鲜肉之称。他是华为nava系列…

    2022年6月9日
    3540

发表回复

登录后才能评论

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信
首页
资讯