如何使用PackageDNA检测不同编程语言的软件包安全性

admin
admin
admin
140350
文章
117
评论
2021年12月3日10:44:36评论93 views字数 1938阅读6分27秒阅读模式

如何使用PackageDNA检测不同编程语言的软件包安全性

关于PackageDNA

PackageDNA是一款功能强大的代码安全检测工具。在很多场景中,我们往往会在自己的代码或项目中使用其他的软件包。而该工具可以帮助广大开发人员、研究人员和组织分析采用不同编程语言开发的软件包安全,并提供相关软件包的安全信息,使我们能够提前知道此软件库是否符合安全开发流程。

PackageDNA可以帮助我们检测目标软件包中可能的后门、嵌入的恶意代码、输入错误分析、版本历史记录和CVE漏洞等信息。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/ElevenPaths/packagedna

PackageDNA使用了python-magic,即针对libmagic C代码库的一个简单封装,因此我们同样需要安装好这个库。

Debian/Ubuntu

$ sudo apt-get install libmagic1

macOS

brew install libmagic

port install file

Windows

pip install https://pypi.python.org/pypi/python-magic-bin/0.4.14

接下来,运行下列安装脚本:

python3 setup.py install --user

外部模块

PackageDNA使用了外部模块来实现其分析功能,因此同样需要预先安装下列外部模块。

Microsoft AppInpsector

https://github.com/microsoft/ApplicationInspector

Virus Total API

https://www.virustotal.com/

LibrariesIO API

https://libraries.io/

Rubocop

https://github.com/rubocop/rubocop

安装之后,你就可以直接配置外部模块了:

[1] VirusTotal API Key: Your API KEY

[2] AppInspector absolute path: /Local/Path/MSAppInpsectorInstallation

[3] Libraries.io API Key: Your API KEY

[4] Github Token: Your Token

[B] Back

[X] Exit

注意:外部模块并不是必须的,不安装外部模块PackageDNA也能继续执行,但我们建议广大用户安装这些模块,以便工具执行完整的分析。

运行PackageDNA

打开命令行终端,切换到项目根目录,并运行下列命令:

./packagedna.py

_____              _                          ____     __     _  _______

|  __             | |                        |  __   |     | ||  ___  |

| |__) |__ __ ____ | | __   __ __  ____   ___ | |    | |  | || |___| |

|  ___// _` |/  __)| |/ /  / _` | / _  | / _ | |   | || |  | ||  ___  |

| |   | (_| || (__ | |  | (_| || (_| ||  __/| |__/ / | |     || |   | |

|_|    __,_|____)|_| _ __,_| __  | ___||_____/  |_|   __||_|   |_|

                                   __| |

                                  (____|

Modular Packages Analyzer Framework

By ElevenPaths https://www.elevenpaths.com/

Usage: python3 ./packagedna.py

[*] -------------------------------------------------------------------------------------------------------------- [*]

[!] Select from the menu:

[*] -------------------------------------------------------------------------------------------------------------- [*]

[1] 分析包(最新版本)

[2] 分析包(所有版本)

[3] 分析本地包

[4] 信息收集

[5] 上传文件并分析所有包

[6] 列出之前分析过的包

[7] 工具配置

[X] 退出

[*] -------------------------------------------------------------------------------------------------------------- [*]

[!] Enter your selection:

项目地址

PackageDNA:点击阅读原文

如何使用PackageDNA检测不同编程语言的软件包安全性


精彩推荐





如何使用PackageDNA检测不同编程语言的软件包安全性


如何使用PackageDNA检测不同编程语言的软件包安全性

如何使用PackageDNA检测不同编程语言的软件包安全性

如何使用PackageDNA检测不同编程语言的软件包安全性

如何使用PackageDNA检测不同编程语言的软件包安全性

本文始发于微信公众号(FreeBuf):如何使用PackageDNA检测不同编程语言的软件包安全性

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日10:44:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何使用PackageDNA检测不同编程语言的软件包安全性https://cn-sec.com/archives/560232.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息