欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

如何使用Whispers識別靜態(tài)結構化文本中的硬編碼敏感信息

2022-10-05    分類: 網站建設

如何使用Whispers識別靜態(tài)結構化文本中的硬編碼敏感信息

關于Whispers

Whispers是一款功能強大的靜態(tài)代碼分析工具,該工具可以幫助廣大研究人員解析各種常見的數據格式,并搜索硬編碼憑證和危險函數。Whispers支持在命令行終端中運行,或者也可以將其集成到CI/CD管道中。

檢測功能 密碼 API令牌 AWS密鑰 私鑰 憑證哈希 身份認證令牌 危險函數 敏感文件 支持的格式

Whispers本質上來說是一款結構化的問版本解析工具,而不是一個代碼分析工具。

下面列出的是當前版本Whispers支持的數據格式:

YAML JSON XML .npmrc .pypirc .htpasswd .properties pip.conf conf / ini Dockerfile Dockercfg Shell scripts Python3

Python3文件會以AST進行解析,因為這是原生語言支持。

聲明和賦值格式

該工具可以將下列語言文件解析為文本,并檢測常見的變量聲明和賦值模式:

JavaScript Java Go PHP 特殊格式支持 AWS憑證文件 JDBC連接字符串 Jenkins配置文件 SpringFramework配置文件 Java屬性文件 Dockercfg注冊認證文件 GitHub令牌 工具安裝

通過PyPI安裝:

pip3 install whispers

GitHub安裝:

git clone https://github.com/Skyscanner/whispers cd whispers make install 工具使用

命令行接口:

whispers --help   whispers --info   whispers source/code/fileOrDir   whispers --config config.yml source/code/fileOrDir   whispers --output /tmp/secrets.yml source/code/fileOrDir   whispers --rules aws-id,aws-secret source/code/fileOrDir   whispers --severity BLOCKER,CRITICAL source/code/fileOrDir   whispers --exitcode 7 source/code/fileOrDir

Python:

from whispers.cli import parse_args   from whispers.core import run       src = "tests/fixtures"   configfile = "whispers/config.yml"   args = parse_args(["-c", configfile, src])   for secret in run(args):   print(secret) 工具配置

Whispers工具支持多種配置選項,我們可以根據需要來配置是否在結果中互毆文件路徑、密鑰或其他值等。config.yml的參考格式如下:

include:   files:   - "**/*.yml"       exclude:   files:   - "**/test/**/*"   - "**/tests/**/*"   keys:   - ^foo   values:   - bar$       rules:   starks:   message: Whispers from the North   severity: CRITICAL   value:   regex: (Aria|Ned) Stark   ignorecase: True

最快的配置方法就是將config.yml文件拷貝至一個新的文件中,然后直接將其以參數形式傳遞給Whispers:

whispers --config config.yml --rules starks src/file/or/dir 自定義規(guī)則

我們可以通過下列方式,在whispers/rules文件中添加和編輯自己的自定義規(guī)則:

rule-id: # unique rule name   description: Values formatted like AWS Session Token   message: AWS Session Token # report will show this message   severity: BLOCKER # one of BLOCKER, CRITICAL, MAJOR, MINOR, INFO       key: # specify key format   regex: (aws.?session.?token)?   ignorecase: True # case-insensitive matching       value: # specify value format   regex: ^(?=.*[a-z])(?=.*[A-Z])[A-Za-z0-9\+\/]{270,450}$   ignorecase: False # case-sensitive matching   minlen: 270 # value is at least this long   isBase64: True # value is base64-encoded   isAscii: False # value is binary data when decoded   isUri: False # value is not formatted like a URI       similar: 0.35 # maximum allowed similarity between key and value   # (1.0 being exactly the same) 插件

Whispers中所有的解析功能都是通過插件實現(xiàn)的,每一個插件都會使用pairs()方法實現(xiàn)一個類,并返回匹配規(guī)則的鍵值對:

class PluginName:   def pairs(self, file):   yield "key", "value" 項目地址

Whispers:【GitHub傳送門】

原文地址:https://www.freebuf.com/sectool/317584.html

網站標題:如何使用Whispers識別靜態(tài)結構化文本中的硬編碼敏感信息
地址分享:http://aaarwkj.com/news8/202208.html

成都網站建設公司_創(chuàng)新互聯(lián),為您提供網站策劃、做網站網站建設、響應式網站建站公司、網站導航

廣告

聲明:本網站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

成都app開發(fā)公司
十八禁一区二区在线观看| 免费无遮挡午夜视频网站| 国产在线观看91精品一区| 伊人久久精品一区二区| 亚洲精品中文字幕乱码| 美女av在线免费观看| 久久精品国产精油按摩| 色综合久久天天射天天干| 欧美日韩在线国产一区| 久久精品免费激情视频| 亚洲免费一区二区三区精品| 日韩深夜成人在线视频| 日韩高清亚洲一区二区| 黄色午夜福利在线观看| 超碰国产精品一区二区| 精品人妻一区三区蜜桃| 超薄丝袜美腿一二三区在线播放 | 婷婷亚洲悠悠色悠在线| 九九视频免费在线播放| 日韩av网址在线免费观看| 国内传媒视频免费观看| 中文字幕一区免费视频| 久久国产精品人妻av| 久久精品国产一区二区三区91| 日本国产精品免费在线观看| 欧美日韩国产一区在线| 亚洲一区二区婷婷久久| 国产三级三级三级三级| 手机不卡在线观看av| 亚洲国产欧美日韩综合| 亚洲国产欧美日韩一区| 午夜福利视频一区久久久| 国内自拍韩国资源在线| 亚洲一区二区视频在线观看免费| 久久成人a毛片免费观看网站| 片子免费毛片日韩不卡一区| 女厕所偷拍一区二区三区| 日本精品a秘在线观看| 欧美一区二区三区有限公司| 男人天堂av在线资源| 美国一级二级三级黄片|