漏洞扫描工具有哪些（常用web漏洞扫描工具推荐）

2022-07-23 02:55:04 浏览：314 作者：管理员

【商户信息】

类目：知识大全

联系人：

微信号：
Q Q 号：
手机号：
浏览量：

314

【货源详情】

关于pip-audit

pip-audit是一种功能强大的安全漏洞扫描工具，主要针对Python环境，有助于许多研究者扫描和测试Python包中的已知安全漏洞。 pip-audit使用PythonPackagingAdvisory数据库PyPIJSONAPI作为漏洞报告的源。

功能介绍

1、支持本地环境和依赖组件(requirements样式文件)的安全审计；

2、支持多漏洞服务(PyPI、OSV )

3、支持以CycloneDX XML或JSON格式发送SBOM；

4、提供人机可读的输出格式(columnar，JSON )；

5、无缝访问/重用本地pip缓存；

工具安装

pip-audit是基于Python开发的，本地环境必须是Python 3.7或更高版本。安装和配置Python环境后，可以使用以下命令从pip安装pip-audit :

python -m pip install pip-audit

第三方包

pip-audit的正常操作需要使用多个第三方软件包，如下图所示。

此外，还可以通过conda安装pip-audit。

conda install-cc onda-forge pip-audit

工具使用

可以直接在独立程序中运行pip-audit，也可以在" python -m "中运行。

PIP-audit----help

python -m pip_audit --help

usage 3360 pip-audit [-h ] [-v ] [-l ] [-rrequirements ] [-f format ] [-s service ]

[-d] [-S] [--desc [{on，off，auto}]] [--cache-dir CACHE_DIR]

[--progress-spinner {on，off}] [--timeout TIMEOUT]

[-- path paths ] [-v ] [-- fix ] [-- require-hashes ]

auditthepythonenvironmentfordependencieswithknownvulnerabilities

optional arguments:

-h，--helpshowthishelpmessageandexit

-V，--versionshowprogram ' sversionnumberandexit

-l，--localshowonlyresultsfordependenciesinthelocal

环境(默认：假) )。

- rrequirements----请求请求

audit the given requirements文件； this option can be

默认：无)。

-fformat----formatformat

theformattoemitauditresultsin (choices : columns，

json，cyclonedx-json，cyclonedx-xml () default:

columns )

-s SERVICE，--- vulnerability-serviceservice

thevulnerabilityservicetoauditdependencies

代理(choices : osv，pypi ) (default: pypi ) ) )。

-d，--dry-run without `-- fix ` : collectalldependenciesbutdonot

perform the auditing step； with `--fix`: perform the

auditingstepbutdonotperformanyfixes (default : )

False )

-S，--strictfailtheentireauditifdependencycollectionfails

onanydependency (default :假) )。

--desc [{on，off，auto}]

includeadescriptionforeachvulnerability； `自动`

defaults to ` on ` for the ` JSON ` format.thisflaghas

oeffectonthe ` cyclone dx-JSON ` or ` cyclone dx-XML `

Formats.(default:auto ) ) ) ) ) ) ) )。

--cache-dir CACHE_DIR

thedirectorytouseasanhttpcacheforpypi；用户

the ` pip ` httpcachebydefault (default : none ) )。

--progress-spinner {on，off}

displayaprogresspinner (default : on ) )。

- timeouttimeoutsetthesockettimeout (default :15 ) )。

- pathpathsrestricttothespecifiedinstallationpathfor

审计包； this option can be used multiple

times(default:[ )

-v，--verbose give more output； this setting overrides the

` pip _ audit _ log level ` variableandisequivalentto

设置itto ` debug ` (default : false )

- fixautomaticallyupgradedependencieswithknown

vulnerabilities (默认：假) )。

- require-hashesrequireahashtocheckeachrequirementagainst，for

repeatable audits； this option is implied when any

packageinarequirementsfilehasa `-- hash ` option。

(default: False )

退出代码

任务完成后，pip-audit将结束执行并返回类似以下内容的代码以显示状态：

0 )未检测到已知漏洞

1 )检测到一个或多个已知漏洞；

工具使用样例

审计当前Python环境依赖关系：

$ pip-audit

No known vulnerabilities found

审计指定请求文件的依赖关系：

$ pip-audit -r ./requirements.txt

No known vulnerabilities found

审计请求文件并排除系统软件包：

$ pip-audit-r./requirements.txt-l

No known vulnerabilities found

在审计依赖关系中发现的安全漏洞：

$ pip-audit

found2knownvulnerabilitiesin1package

名称版本id fix versions

请参见------------------------------------------------------- -

Flask 0.5 PYSEC-2019-179 1.0

Flask 0.5 PYSEC-2018-66 0.12.3

审计依赖项(包括说明) :

$ pip-audit --desc

found2knownvulnerabilitiesin1package

nameversionidfixversionsdescription

请参阅----------- -请参阅---------------请参阅

flask 0.5 py sec-2019-1791.0 thepalletsprojectflaskbefore 1.0 isaffectedby : unexpectedmemoryusage.theimpactis 3360 denialofsefsed edencodedjsondata.thefixedversionis :1.note 3360 thismayoverlapcve-2018-1000656。

flask 0.5 py sec-2018-660.12.3 thepalletsprojectflaskversionbefore 0.12.3 contains acwe-2033 360 improperinputvalidationvvationvvefore emoryusagepossiblyleadingtodenialofservice.thisattackappeartobeexploitableviaattackerprovidesjss datainincorrectencoding.thing beenfixedin0. 12.3.note : thismayoverlapcve-2019-1010083。

审计JSON格式依赖关系：

$ pip-audit -f json | jq

found2knownvulnerabilitiesin1package

[

{

' name': 'flask '，

' version': '0.5 '，

' vulns': [

{

' id': 'PYSEC-2019-179 '，

' fix_versions': [

' 1.0 '

]、

' description ' : ' thepalletsprojectflaskbefore 1.0 isaffectedby : unexpectedmemoryusage.theimpactis 3360 denialofservicion on data.thefixedversionis :1.note : thismayoverlapcve-2018-1000656.'

(，

{

' id': 'PYSEC-2018-66 '，

' fix_versions': [

'0.12.3 '

]、

' description ' : ' thepalletsprojectflaskversionbefore0. 12.3 contains acwe-2033 360 improperinputvalidationvulnnerabilition iblyleadingtodenialofservice.thisattackappeartobeexploitableviaattackerprovidesjsondataininon orrectencoding.thisvulnerabilerabiled

}

]

(，

{

' name': 'jinja2 '，

' version': '3.0.2'，

' vulns': []

(，

{

' name': 'pip '，

' version': '21.3.1 '，

' vulns': []

(，

{

“名称”:“设置工具”，

' version': '57.4.0 '，

' vulns': []

(，

{

“name': 'werkzeug”，

' version': '2.0.2'，

' vulns': []

(，

{

' name ' : '标记安全'，

' version': '2.0.1'，

' vulns': []

() ) ) ) )。

() ]

【所有资源关注我，私信回复“资料”获取1】

1、网络安全学习途径

2、电子书(白帽子)

3、安全大厂内部视频

100份src文档

5、常见安全问题

6、ctf大会经典主题解析

7 .全套工具包

8、应急响应笔记

尝试进行审核，以自动审核存在漏洞的依赖关系：

$ pip-audit --fix

found2knownvulnerabilitiesin1packageandfixed2vulnerabilitiesin1package

nameversionidfixversionsappliedfix

请参见----------------------------------------- -

flask 0.5 py sec-2019-1791.0 successfullyupgradedflask (0.5=1.0 ) )。

flask 0.5 py sec-2018-660.12.3 successfullyupgradedflask (0.5=1.0 ) )。

许可证协议

本项目的开发和发行符合Apache 2.0开源许可协议。