ហ្វេសប៊ុកបានណែនាំអ្នកវិភាគឋិតិវន្តប្រភពបើកចំហមួយហៅថាភីស៊ី» (អ្នកវិភាគឋិតិវន្ត) ដែលជា បង្កើតឡើងដើម្បីកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះដែលមានសក្តានុពលនៅក្នុងកូដ Python ។
ផេសា ផ្តល់នូវការវិភាគលំហូរទិន្នន័យ ជាលទ្ធផលនៃការប្រតិបត្តិលេខកូដដែល អនុញ្ញាតឱ្យអ្នកកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះនិងបញ្ហាដែលអាចកើតមានជាច្រើន ភាពឯកជនទាក់ទងនឹងការប្រើប្រាស់ទិន្នន័យនៅកន្លែងដែលមិនគួរបង្ហាញ។
ឧទាហរណ៍ផេសា អាចតាមដានការប្រើប្រាស់ទិន្នន័យខាងក្រៅឆៅនៅក្នុងការហៅទូរស័ព្ទ ដែលប្រតិបត្តិកម្មវិធីខាងក្រៅក្នុងប្រតិបត្តិការឯកសារនិងក្នុងការបង្កើត SQL ។
សព្វថ្ងៃនេះយើងចែករំលែកព័ត៌មានលំអិតអំពីផេសដែលជាឧបករណ៍វិភាគឋិតិវន្តប្រភពបើកចំហមួយដែលយើងបានបង្កើតឡើងដើម្បីស្វែងរកនិងការពារបញ្ហាសន្តិសុខនិងភាពឯកជននៅក្នុងកូដ Python ។ កាលពីឆ្នាំមុនយើងបានចែករំលែកពីរបៀបដែលយើងបង្កើតហ្សុនកូឡនដែលជាឧបករណ៍វិភាគឋិតិវន្តដែលជួយយើងវិភាគកូដ hack ជាង ១០០ លានហើយបានជួយវិស្វករការពារបញ្ហាសុវត្ថិភាពរាប់ពាន់។ ជោគជ័យនោះបានជម្រុញយើងឱ្យអភិវឌ្ឍផេសាដែលជាអក្សរកាត់សម្រាប់ Python Static Analyzer ។
ភីសប្រើក្បួនដោះស្រាយដូចគ្នា ដើម្បីអនុវត្តការវិភាគឋិតិវន្តនិងចែករំលែកលេខកូដជាមួយ ហ្សុនឡូន។ ដូចហ្សុនកូឡិនផេសា តាមដានលំហូរទិន្នន័យតាមរយៈកម្មវិធី។
អ្នកប្រើប្រាស់កំណត់ប្រភព (កន្លែងដែលទិន្នន័យសំខាន់ៗមានប្រភពដើម) ក៏ដូចជាលិច (កន្លែងដែលទិន្នន័យប្រភពមិនគួរបញ្ចប់) ។
សម្រាប់កម្មវិធីសន្តិសុខប្រភេទប្រភពទូទៅបំផុតគឺជាកន្លែងដែលទិន្នន័យដែលគ្រប់គ្រងដោយអ្នកប្រើប្រាស់ចូលក្នុងកម្មវិធីដូចជាវចនានុក្រមឌីហ្គោន។
អ្នកទទួលលំអៀងទៅរកការផ្លាស់ប្តូរច្រើនប៉ុន្តែអាចរួមបញ្ចូល APIs ដែលដំណើរការកូដដូចជា eval, ឬ APIs ដែលចូលប្រើប្រព័ន្ធឯកសារដូចជាos.open.
ផីសាអនុវត្តការវិភាគជុំ ៗ ដើម្បីបង្កើតអរូបីយ ដើម្បីកំណត់ថាតើមុខងារណាមួយត្រឡប់ទិន្នន័យពីប្រភពមួយនិងមុខងារណាដែលមានប៉ារ៉ាម៉ែត្រដែលទីបំផុតលិច។ ប្រសិនបើភីស៊ីរកឃើញថាប្រភពមួយនៅទីបំផុតភ្ជាប់ទៅនឹងលិចវានឹងរាយការណ៍ពីបញ្ហា។
ការងារអ្នកវិភាគ វាពុះដើម្បីកំណត់ប្រភពទិន្នន័យចូល និងការហៅដែលមានគ្រោះថ្នាក់ដែលទិន្នន័យដើមមិនគួរត្រូវបានប្រើ។
Pysa ឃ្លាំមើលការឆ្លងកាត់ទិន្នន័យតាមរយៈខ្សែសង្វាក់នៃការហៅមុខងារនិងភ្ជាប់ទិន្នន័យដើមជាមួយកន្លែងដែលមានគ្រោះថ្នាក់នៅក្នុងកូដ។
ដោយសារតែយើងប្រើក្របខ័ណ្ឌម៉ាស៊ីនមេ Python បើកចំហរដូចជាឌីហ្គោហ្គោននិងថូណាដូសម្រាប់ផលិតផលរបស់យើងផ្ទាល់ភីសសាអាចចាប់ផ្តើមជួបប្រទះបញ្ហាសន្តិសុខនៅក្នុងគម្រោងដែលប្រើក្របខ័ណ្ឌទាំងនេះតាំងពីដំបូង។ ការប្រើប្រាស់ Pysa សម្រាប់ស៊ុមដែលយើងមិនទាន់មានការគ្របដណ្តប់នៅឡើយទេគឺសាមញ្ញដូចជាការបន្ថែមបន្ទាត់កំណត់រចនាសម្ព័ន្ធពីរបីដើម្បីប្រាប់ Pysa ថាតើទិន្នន័យចូលទៅក្នុងម៉ាស៊ីនមេយ៉ាងដូចម្តេច។
ភាពងាយរងគ្រោះទូទៅដែលត្រូវបានកំណត់អត្តសញ្ញាណដោយភីសសាគឺជាបញ្ហាប្តូរទិសបើកចំហរ (CVE-2019-19775) នៅក្នុងវេទិការសារហ្សូលដែលបណ្តាលមកពីការឆ្លងកាត់ប៉ារ៉ាម៉ែត្រខាងក្រៅមិនស្អាតនៅពេលបង្ហាញរូបភាពតូច។
សមត្ថភាពតាមដានលំហូរទិន្នន័យរបស់ Pysa អាចត្រូវបានប្រើដើម្បីធ្វើឱ្យការប្រើប្រាស់ស៊ុមបន្ថែមមានសុពលភាពនិងកំណត់ការអនុលោមតាមគោលការណ៍ប្រើប្រាស់ទិន្នន័យអ្នកប្រើប្រាស់។
ឧទាហរណ៏, Pysa ដោយគ្មានការកំណត់រចនាសម្ព័ន្ធបន្ថែមអាចត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់គម្រោងដោយប្រើក្របខ័ណ្ឌ Django និងព្យុះកំបុតត្បូង។ Pysa ក៏អាចកំណត់អត្តសញ្ញាណភាពងាយរងគ្រោះទូទៅនៅក្នុងកម្មវិធីគេហទំព័រដូចជាការជំនួស SQL និងស្គ្រីបឆ្លងគេហទំព័រ (XSS) ។
នៅលើហ្វេសប៊ុកអ្នកវិភាគត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់លេខកូដនៃសេវាកម្ម Instagram។ ក្នុងអំឡុងពេលត្រីមាសដំបូងនៃឆ្នាំ ២០២០ ភីស្សាបានជួយកំណត់បញ្ហា ៤៤% នៃបញ្ហាទាំងអស់ដែលត្រូវបានរកឃើញដោយវិស្វករហ្វេសប៊ុកនៅក្នុងមូលដ្ឋានកូដផ្នែកខាងម៉ាស៊ីនមេរបស់ Instagram ។
បញ្ហាសរុបចំនួន ៣៣០ ត្រូវបានរកឃើញនៅក្នុងដំណើរការនេះ នៃការផ្ទៀងផ្ទាត់ការផ្លាស់ប្តូរស្វ័យប្រវត្តិកម្មដោយប្រើ Pysa, ៤៩ (១៥%) ដែលត្រូវបានវាយតម្លៃថាសំខាន់ហើយ ១៣១ (៤០%) មិនមានគ្រោះថ្នាក់ទេ។ ក្នុង ១៥០ ករណី (៤៥%) បញ្ហាត្រូវបានគេសន្មតថាជាឥរិយាបថមិនពិត។
ឧបករណ៍ញែកថ្មីត្រូវបានរចនាឡើងជាកម្មវិធីបន្ថែមទៅប្រអប់ឧបករណ៍ផ្ទៀងផ្ទាត់ប្រភេទភឺរហើយត្រូវបានដាក់ក្នុងឃ្លាំងរបស់អ្នក។ លេខកូដត្រូវបានចេញផ្សាយក្រោមអាជ្ញាប័ណ្ណរបស់មីតធី។
ទីបំផុត ប្រសិនបើអ្នកចង់ដឹងបន្ថែមអំពីវា, អ្នកអាចពិនិត្យមើលព័ត៌មានលម្អិតនៅក្នុងប្រកាសដើម។ តំណគឺនេះ។
ធ្វើជាយោបល់ដំបូង