如何使用Whispers識別靜態(tài)結構化文本中的硬編碼敏感信息
2022-10-05 分類: 網(wǎng)站建設
Whispers是一款功能強大的靜態(tài)代碼分析工具,該工具可以幫助廣大研究人員解析各種常見的數(shù)據(jù)格式,并搜索硬編碼憑證和危險函數(shù)。Whispers支持在命令行終端中運行,或者也可以將其集成到CI/CD管道中。
檢測功能 密碼 API令牌 AWS密鑰 私鑰 憑證哈希 身份認證令牌 危險函數(shù) 敏感文件 支持的格式Whispers本質上來說是一款結構化的問版本解析工具,而不是一個代碼分析工具。
下面列出的是當前版本W(wǎng)hispers支持的數(shù)據(jù)格式:
YAML JSON XML .npmrc .pypirc .htpasswd .properties pip.conf conf / ini Dockerfile Dockercfg Shell scripts Python3Python3文件會以AST進行解析,因為這是原生語言支持。
聲明和賦值格式該工具可以將下列語言文件解析為文本,并檢測常見的變量聲明和賦值模式:
JavaScript Java Go PHP 特殊格式支持 AWS憑證文件 JDBC連接字符串 Jenkins配置文件 SpringFramework配置文件 Java屬性文件 Dockercfg注冊認證文件 GitHub令牌 工具安裝通過PyPI安裝:
pip3 install whispersGitHub安裝:
git clone https://github.com/Skyscanner/whispers cd whispers make install 工具使用命令行接口:
whispers --help whispers --info whispers source/code/fileOrDir whispers --config config.yml source/code/fileOrDir whispers --output /tmp/secrets.yml source/code/fileOrDir whispers --rules aws-id,aws-secret source/code/fileOrDir whispers --severity BLOCKER,CRITICAL source/code/fileOrDir whispers --exitcode 7 source/code/fileOrDirPython:
from whispers.cli import parse_args from whispers.core import run src = "tests/fixtures" configfile = "whispers/config.yml" args = parse_args(["-c", configfile, src]) for secret in run(args): print(secret) 工具配置Whispers工具支持多種配置選項,我們可以根據(jù)需要來配置是否在結果中互毆文件路徑、密鑰或其他值等。config.yml的參考格式如下:
include: files: - "**/*.yml" exclude: files: - "**/test/**/*" - "**/tests/**/*" keys: - ^foo values: - bar$ rules: starks: message: Whispers from the North severity: CRITICAL value: regex: (Aria|Ned) Stark ignorecase: True最快的配置方法就是將config.yml文件拷貝至一個新的文件中,然后直接將其以參數(shù)形式傳遞給Whispers:
whispers --config config.yml --rules starks src/file/or/dir 自定義規(guī)則我們可以通過下列方式,在whispers/rules文件中添加和編輯自己的自定義規(guī)則:
rule-id: # unique rule name description: Values formatted like AWS Session Token message: AWS Session Token # report will show this message severity: BLOCKER # one of BLOCKER, CRITICAL, MAJOR, MINOR, INFO key: # specify key format regex: (aws.?session.?token)? ignorecase: True # case-insensitive matching value: # specify value format regex: ^(?=.*[a-z])(?=.*[A-Z])[A-Za-z0-9\+\/]{270,450}$ ignorecase: False # case-sensitive matching minlen: 270 # value is at least this long isBase64: True # value is base64-encoded isAscii: False # value is binary data when decoded isUri: False # value is not formatted like a URI similar: 0.35 # maximum allowed similarity between key and value # (1.0 being exactly the same) 插件Whispers中所有的解析功能都是通過插件實現(xiàn)的,每一個插件都會使用pairs()方法實現(xiàn)一個類,并返回匹配規(guī)則的鍵值對:
class PluginName: def pairs(self, file): yield "key", "value" 項目地址Whispers:【GitHub傳送門】
原文地址:https://www.freebuf.com/sectool/317584.html
網(wǎng)站標題:如何使用Whispers識別靜態(tài)結構化文本中的硬編碼敏感信息
地址分享:http://www.2m8n56k.cn/news8/202208.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站策劃、做網(wǎng)站、網(wǎng)站建設、響應式網(wǎng)站、建站公司、網(wǎng)站導航
聲明:本網(wǎng)站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:[email protected]。內容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內容
- 什么是CDN?CDN在OCSP中的應用? 2022-10-05
- 什么是香港動態(tài)服務器?有什么優(yōu)勢? 2022-10-05
- 在云應用程序中加強隱私保護的9種方法 2022-10-05
- Deepin是什么? 2022-10-05
- 企業(yè)應如何正確管理和控制云計算? 2022-10-05
- 為什么采用云原生?速度、穩(wěn)定性和全周期開發(fā) 2022-10-05
- 關于https服務器證書 2022-10-05
- 服務器安全配置都有什么內容 2022-10-05
- 邊緣數(shù)據(jù)中心和5G的融合將如何徹底改變數(shù)據(jù)傳輸和物聯(lián)網(wǎng) 2022-10-05
- 子網(wǎng)掩碼是什么 2022-10-05
- 租用美國服務器應該怎么選擇配置? 2022-10-05
- ssl數(shù)字證書購買使用怎么進行? 2022-10-05
- BGP多線服務器怎么樣以及有什么優(yōu)勢 2022-10-05
- 高流量直播服務器要怎么應對? 2022-10-05
- 對大數(shù)據(jù)、云計算與人工智能三者間的認識及理解 2022-10-05
- 網(wǎng)站安全證書下載與查看 2022-10-05
- 中興通訊發(fā)布邊緣計算服務器實現(xiàn)邊緣人工智能 2022-10-05
- 日本VPS怎么樣?日本VPS服務器租用有哪些優(yōu)點? 2022-10-05
- 企業(yè)在云端采用的趨勢和預測 2022-10-05