ಫೇಸ್ಬುಕ್ ತೆರೆದ ಸ್ಥಿರ ವಿಶ್ಲೇಷಕ (ಪೈಥಾನ್ ಸ್ಟ್ಯಾಟಿಕ್ ವಿಶ್ಲೇಷಕ), ಪೈಥಾನ್ ಕೋಡ್ನಲ್ಲಿ ಸಂಭಾವ್ಯ ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ. ಹೊಸ ವಿಶ್ಲೇಷಕವನ್ನು ಟೈಪ್ ಚೆಕಿಂಗ್ ಟೂಲ್ಕಿಟ್ಗೆ ಆಡ್-ಆನ್ ಆಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿದೆ ಮತ್ತು ಅವರ ಭಂಡಾರದಲ್ಲಿ ಪೋಸ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಕೋಡ್ MIT ಪರವಾನಗಿ ಅಡಿಯಲ್ಲಿ.
Pysa ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ನ ಪರಿಣಾಮವಾಗಿ ಡೇಟಾ ಹರಿವಿನ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ, ಇದು ಗೋಚರಿಸದ ಸ್ಥಳಗಳಲ್ಲಿ ಡೇಟಾವನ್ನು ಬಳಸುವುದರೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ ಅನೇಕ ಸಂಭಾವ್ಯ ದುರ್ಬಲತೆಗಳು ಮತ್ತು ಗೌಪ್ಯತೆ ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಉದಾಹರಣೆಗೆ, ಬಾಹ್ಯ ಪ್ರೋಗ್ರಾಂಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವ ಕರೆಗಳಲ್ಲಿ, ಫೈಲ್ ಕಾರ್ಯಾಚರಣೆಗಳಲ್ಲಿ ಮತ್ತು SQL ರಚನೆಗಳಲ್ಲಿ ಕಚ್ಚಾ ಬಾಹ್ಯ ಡೇಟಾದ ಬಳಕೆಯನ್ನು Pysa ಟ್ರ್ಯಾಕ್ ಮಾಡಬಹುದು.
ವಿಶ್ಲೇಷಕದ ಕೆಲಸವು ಡೇಟಾದ ಮೂಲಗಳನ್ನು ಮತ್ತು ಮೂಲ ಡೇಟಾವನ್ನು ಬಳಸದ ಅಪಾಯಕಾರಿ ಕರೆಗಳನ್ನು ಗುರುತಿಸಲು ಬರುತ್ತದೆ. ವೆಬ್ ವಿನಂತಿಗಳಿಂದ ಡೇಟಾವನ್ನು (ಉದಾಹರಣೆಗೆ, ಜಾಂಗೊದಲ್ಲಿ HttpRequest.GET ನಿಘಂಟು) ಮೂಲವಾಗಿ ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ ಮತ್ತು eval ಮತ್ತು os.open ನಂತಹ ಕರೆಗಳನ್ನು ಅಪಾಯಕಾರಿ ಬಳಕೆ ಎಂದು ಪರಿಗಣಿಸಲಾಗುತ್ತದೆ. Pysa ಫಂಕ್ಷನ್ ಕರೆಗಳ ಸರಪಳಿಯ ಮೂಲಕ ಡೇಟಾದ ಹರಿವನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಕೋಡ್ನಲ್ಲಿ ಸಂಭಾವ್ಯ ಅಪಾಯಕಾರಿ ಸ್ಥಳಗಳೊಂದಿಗೆ ಮೂಲ ಡೇಟಾವನ್ನು ಸಂಯೋಜಿಸುತ್ತದೆ. Pysa ಬಳಸಿಕೊಂಡು ಗುರುತಿಸಲಾದ ವಿಶಿಷ್ಟವಾದ ದುರ್ಬಲತೆಯು ತೆರೆದ ಮರುನಿರ್ದೇಶನ ಸಮಸ್ಯೆಯಾಗಿದೆ () ಜುಲಿಪ್ ಮೆಸೇಜಿಂಗ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ನಲ್ಲಿ, ಥಂಬ್ನೇಲ್ಗಳನ್ನು ಸಲ್ಲಿಸುವಾಗ ಅಶುದ್ಧ ಬಾಹ್ಯ ನಿಯತಾಂಕಗಳನ್ನು ರವಾನಿಸುವುದರಿಂದ ಉಂಟಾಗುತ್ತದೆ.
Pysa ದ ಡೇಟಾ ಫ್ಲೋ ಟ್ರ್ಯಾಕಿಂಗ್ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಮಾಡಬಹುದು ಹೆಚ್ಚುವರಿ ಚೌಕಟ್ಟುಗಳ ಸರಿಯಾದ ಬಳಕೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ಬಳಕೆದಾರರ ಡೇಟಾ ಬಳಕೆಯ ನೀತಿಯ ಅನುಸರಣೆಯನ್ನು ನಿರ್ಧರಿಸಲು. ಉದಾಹರಣೆಗೆ, ಜಾಂಗೊ ಮತ್ತು ಸುಂಟರಗಾಳಿ ಚೌಕಟ್ಟುಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಯೋಜನೆಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಹೆಚ್ಚುವರಿ ಸೆಟ್ಟಿಂಗ್ಗಳಿಲ್ಲದ ಪೈಸಾವನ್ನು ಬಳಸಬಹುದು. Pysa ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ SQL ಇಂಜೆಕ್ಷನ್ ಮತ್ತು ಕ್ರಾಸ್-ಸೈಟ್ ಸ್ಕ್ರಿಪ್ಟಿಂಗ್ (XSS) ನಂತಹ ಸಾಮಾನ್ಯ ದುರ್ಬಲತೆಗಳನ್ನು ಸಹ ಪತ್ತೆ ಮಾಡುತ್ತದೆ.
Facebook ನಲ್ಲಿ, Instagram ಸೇವೆಯ ಕೋಡ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲು ವಿಶ್ಲೇಷಕವನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. 2020 ರ ಮೊದಲ ತ್ರೈಮಾಸಿಕದಲ್ಲಿ, Instagram ನ ಸರ್ವರ್-ಸೈಡ್ ಕೋಡ್ಬೇಸ್ನಲ್ಲಿ ಫೇಸ್ಬುಕ್ ಎಂಜಿನಿಯರ್ಗಳು ಕಂಡುಕೊಂಡ ಎಲ್ಲಾ ಸಮಸ್ಯೆಗಳನ್ನು 44% ಗುರುತಿಸಲು ಪೈಸಾ ಸಹಾಯ ಮಾಡಿದೆ.
ಒಟ್ಟಾರೆಯಾಗಿ, ಪೈಸಾದ ಸ್ವಯಂಚಾಲಿತ ಬದಲಾವಣೆಯ ಪರಿಶೀಲನೆ ಪ್ರಕ್ರಿಯೆಯು 330 ಸಮಸ್ಯೆಗಳನ್ನು ಗುರುತಿಸಿದೆ, ಅದರಲ್ಲಿ 49 (15%) ಪ್ರಮುಖ ಮತ್ತು 131 (40%) ತೀವ್ರವಲ್ಲದವು ಎಂದು ರೇಟ್ ಮಾಡಲಾಗಿದೆ. 150 ಪ್ರಕರಣಗಳಲ್ಲಿ (45%) ಸಮಸ್ಯೆಗಳನ್ನು ತಪ್ಪು ಧನಾತ್ಮಕ ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru