ෆේස්බුක් විසින් පිරිනමන පයිතන් සඳහා ස්ථිතික විශ්ලේෂකයක් වන පයිසා

ෆේස්බුක් විසින් «Pysa නමින් විවෘත මූලාශ්‍ර ස්ථිතික විශ්ලේෂකයක් හඳුන්වා දී ඇත»(පයිතන් ස්ථිතික විශ්ලේෂකය) යනු පයිතන් කේතයේ ඇති විය හැකි අවදානම් හඳුනා ගැනීම සඳහා නිර්මාණය කර ඇත.

පයිසා දත්ත ප්‍රවාහ විශ්ලේෂණය සපයයි කේත ක්‍රියාත්මක කිරීමේ ප්‍රති result ලයක් ලෙස බොහෝ විභව අවදානම් සහ ගැටලු හඳුනා ගැනීමට ඔබට ඉඩ සලසයි දර්ශනය නොවිය යුතු ස්ථානවල දත්ත භාවිතය හා සම්බන්ධ පෞද්ගලිකත්වය.

උදාහරණයක් ලෙස පයිසා ඇමතුම් වල අමු බාහිර දත්ත භාවිතය නිරීක්ෂණය කළ හැකිය බාහිර වැඩසටහන්, ගොනු මෙහෙයුම් වලදී සහ SQL ඉදිකිරීම් වලදී.

අද, අපි පයිතන් කේතයේ ආරක්ෂාව සහ පෞද්ගලිකත්වය පිළිබඳ ගැටළු හඳුනා ගැනීම සහ වළක්වා ගැනීම සඳහා ගොඩනගා ඇති විවෘත මූලාශ්‍ර ස්ථිතික විශ්ලේෂණ මෙවලමක් වන පයිසා පිළිබඳ තොරතුරු බෙදා ගනිමු. මිලියන 100 කට වඩා වැඩි හැක් කේත විශ්ලේෂණය කිරීමට අපට උපකාරී වන ස්ථිතික විශ්ලේෂණ මෙවලමක් වන සොන්කොලන් නිර්මාණය කළ ආකාරය පසුගිය වසරේදී අපි බෙදා ගත්තෙමු. එම සාර්ථකත්වය පයිතන් ස්ථිතික විශ්ලේෂකයේ සංක්ෂිප්තයක් වන පයිසා සංවර්ධනය කිරීමට අපව පොළඹවන ලදී.

පයිසා එකම ඇල්ගොරිතම භාවිතා කරයි ස්ථිතික විශ්ලේෂණයක් සිදු කිරීමට සහ කේතය බෙදා ගැනීමට පවා සොන්කොලන්. සොන්කොලන් මෙන්, පයිසා වැඩසටහනක් හරහා දත්ත ගලා යයි.

පරිශීලකයා ප්‍රභවයන් (වැදගත් දත්ත සම්භවයක් ඇති ස්ථාන) මෙන්ම ගිලී යයි (ප්‍රභව දත්ත අවසන් නොවිය යුතු ස්ථාන) අර්ථ දක්වයි.

ආරක්ෂක යෙදුම් සඳහා, වඩාත් පොදු ප්‍රභවයන් වන්නේ ජැන්ගෝ ශබ්දකෝෂය වැනි පරිශීලක පාලිත දත්ත යෙදුමට ඇතුළු වන ස්ථාන ය.

ලබන්නන් වඩා විවිධාකාර වේ, නමුත් කේත ධාවනය කරන API ඇතුළත් කළ හැකිය eval, හෝ ගොනු පද්ධතියට ප්‍රවේශ වන API වැනිos.open

පයිසා සාරාංශ තැනීම සඳහා විශ්ලේෂණ වටයන් සිදු කරයි ප්‍රභවයකින් දත්ත ආපසු ලබා දෙන්නේ කුමන ශ්‍රිතයන්ද යන්න සහ අවසානයේදී ගිලී යන පරාමිතීන් ඇති කාර්යයන් මොනවාද යන්න තීරණය කිරීම. ප්‍රභවයක් අවසානයේදී බේසමකට සම්බන්ධ වන බව පයිසා සොයා ගන්නේ නම්, එය ගැටළුවක් වාර්තා කරයි. 

විශ්ලේෂක වැඩ එන දත්ත ප්‍රභවයන් හඳුනා ගැනීම සඳහා එය තම්බා ගනී සහ භයානක ඇමතුම්, මුල් දත්ත භාවිතා නොකළ යුතුය.

පයිසා ක්‍රියාකාරී ඇමතුම් දාමය හරහා දත්ත ගමන් කිරීම අධීක්‍ෂණය කරන අතර මුල් දත්ත කේතයේ භයානක ස්ථාන සමඟ සම්බන්ධ කරයි.

අපගේ නිෂ්පාදන සඳහා අපි ජැන්ගෝ සහ ටෝනාඩෝ වැනි විවෘත මූලාශ්‍ර පයිතන් සේවාදායක රාමු භාවිතා කරන හෙයින්, මෙම රාමු මුල සිටම භාවිතා කරන ව්‍යාපෘතිවල ආරක්ෂක ගැටළු වලට මුහුණ දීමට පයිසාට හැකිය. අපට තවමත් ආවරණයක් නොමැති රාමු සඳහා පයිසා භාවිතා කිරීම සාමාන්‍යයෙන් සේවාදායකයට දත්ත පැමිණෙන්නේ කොහේදැයි පයිසාට පැවසීමට වින්‍යාස රේඛා කිහිපයක් එකතු කිරීම තරම් සරල ය.

පයිසා විසින් හඳුනාගෙන ඇති පොදු අවදානමක් වන්නේ සුලිප් පණිවුඩකරණ වේදිකාවේ විවෘත යළි-යොමුවීම් නිකුතුවකි (CVE-2019-19775), මෙය සිඟිති රූ පෙන්වීමේදී අපිරිසිදු බාහිර පරාමිතීන් පසු කිරීම නිසා ඇතිවේ.

අමතර රාමු භාවිතය වලංගු කිරීම සහ පරිශීලක දත්ත භාවිත ප්‍රතිපත්ති වලට අනුකූල වීම තීරණය කිරීම සඳහා පයිසා හි දත්ත ප්‍රවාහ ලුහුබැඳීමේ හැකියාවන් භාවිතා කළ හැකිය.

උදාහරණයක් ලෙස, අතිරේක වින්‍යාසයන් නොමැති පයිසා මඟින් රාමු භාවිතා කරමින් ව්‍යාපෘති සත්‍යාපනය කළ හැකිය ජැන්ගෝ සහ ටෝනාඩෝ. පයිසා හට SQL ආදේශනය සහ හරස් අඩවි ස්ක්‍රිප්ටින් (එක්ස්එස්එස්) වැනි වෙබ් යෙදුම්වල පොදු අවදානම් හඳුනාගත හැකිය.

ෆේස්බුක් හි, විශ්ලේෂකය භාවිතා කරනුයේ ඉන්ස්ටග්‍රෑම් සේවාවේ කේතය සත්‍යාපනය කිරීමට ය. 2020 පළමු කාර්තුවේදී, ඉන්ස්ටග්‍රෑම් හි සර්වර් සයිඩ් කේත පදනමේ ෆේස්බුක් ඉංජිනේරුවන් විසින් සොයා ගන්නා ලද ගැටළු වලින් 44% ක් හඳුනා ගැනීමට පීසා උදව් විය.

මෙම ක්‍රියාවලියේදී ගැටළු 330 ක් හඳුනාගෙන ඇත Pysa භාවිතා කරමින් ස්වයංක්‍රීය වෙනස්වීම් සත්‍යාපනය, 49 (15%) සැලකිය යුතු යැයි ඇගයීමට ලක් කළ අතර 131 (40%) භයානක නොවේ. අවස්ථා 150 කදී (45%) ගැටළු වලට හේතු වී ඇත්තේ ව්‍යාජ ධනාත්මක කරුණු ය.

නව විග්‍රහකය සැලසුම් කර ඇත්තේ පයර් වර්ගයේ සත්‍යාපන මෙවලම් කට්ටලයට අතිරේකයක් ලෙස වන අතර එය ඔබේ ගබඩාවේ තැන්පත් කර ඇත. කේතය එම්අයිටී බලපත්‍රය යටතේ මුදා හරිනු ලැබේ.

අවසානයේ ඔබට ඒ ගැන වැඩි විස්තර දැන ගැනීමට අවශ්‍ය නම්, ඔබට මුල් පෝස්ට් එකේ විස්තර පරීක්ෂා කළ හැකිය. සබැඳිය මෙයයි.


ලිපියේ අන්තර්ගතය අපගේ මූලධර්මවලට අනුකූල වේ කතුවැකි ආචාර ධර්ම. දෝෂයක් වාර්තා කිරීමට ක්ලික් කරන්න මෙන්න.

අදහස් පළ කිරීමට ප්රථම වන්න

ඔබේ අදහස තබන්න

ඔබේ ඊ-මේල් ලිපිනය පළ කරනු නොලැබේ.

*

*

  1. දත්ත සඳහා වගකිව යුතු: මිගෙල් ඇන්ජල් ගැටන්
  2. දත්තවල අරමුණ: SPAM පාලනය කිරීම, අදහස් කළමනාකරණය.
  3. නීත්‍යානුකූලභාවය: ඔබේ කැමැත්ත
  4. දත්ත සන්නිවේදනය: නෛතික බැඳීමකින් හැර දත්ත තෙවන පාර්ශවයකට සන්නිවේදනය නොකෙරේ.
  5. දත්ත ගබඩා කිරීම: ඔක්සෙන්ටස් නෙට්වර්ක්ස් (EU) විසින් සත්කාරකත්වය දක්වන දත්ත සමුදාය
  6. අයිතිවාසිකම්: ඕනෑම වේලාවක ඔබට ඔබේ තොරතුරු සීමා කිරීමට, නැවත ලබා ගැනීමට සහ මකා දැමීමට හැකිය.