فیس بک
Pysa کوڈ کے نفاذ کے نتیجے میں ڈیٹا کے بہاؤ کا تجزیہ فراہم کرتا ہے، جو آپ کو ان جگہوں پر ڈیٹا کے استعمال سے منسلک بہت سے ممکنہ خطرات اور رازداری کے مسائل کی نشاندہی کرنے کی اجازت دیتا ہے جہاں اسے ظاہر نہیں ہونا چاہیے۔
مثال کے طور پر، Pysa ان کالوں میں خام بیرونی ڈیٹا کے استعمال کو ٹریک کر سکتا ہے جو بیرونی پروگراموں کو شروع کرتی ہیں، فائل آپریشنز میں، اور SQL تعمیرات میں۔
تجزیہ کار کا کام ڈیٹا کے ذرائع اور خطرناک کالوں کی نشاندہی کرنا ہے جس میں اصل ڈیٹا استعمال نہیں کیا جانا چاہیے۔ ویب درخواستوں سے ڈیٹا (مثال کے طور پر، Django میں HttpRequest.GET ڈکشنری) کو ایک ذریعہ سمجھا جاتا ہے، اور eval اور os.open جیسی کالوں کو خطرناک استعمال سمجھا جاتا ہے۔ Pysa فنکشن کالز کے سلسلے کے ذریعے ڈیٹا کے بہاؤ کو ٹریک کرتا ہے اور کوڈ میں ممکنہ طور پر خطرناک جگہوں کے ساتھ سورس ڈیٹا کو جوڑتا ہے۔ Pysa کے استعمال سے شناخت کی گئی ایک عام کمزوری ایک کھلا ری ڈائریکٹ مسئلہ ہے (
Pysa کی ڈیٹا فلو ٹریکنگ کی صلاحیتیں کر سکتی ہیں۔
فیس بک پر، تجزیہ کار انسٹاگرام سروس کے کوڈ کو چیک کرنے کے لیے استعمال کیا جاتا ہے۔ 2020 کی پہلی سہ ماہی میں، Pysa نے فیس بک کے انجینئرز کو انسٹاگرام کے سرور سائیڈ کوڈ بیس میں پائے جانے والے تمام مسائل میں سے 44% کی نشاندہی کرنے میں مدد کی۔
مجموعی طور پر، Pysa کے خودکار تبدیلی کے جائزے کے عمل نے 330 مسائل کی نشاندہی کی، جن میں سے 49 (15%) کو اہم اور 131 (40%) کو غیر شدید قرار دیا گیا۔ 150 معاملات میں (45%) مسائل کو غلط مثبت کے طور پر درجہ بندی کیا گیا تھا۔
ماخذ: opennet.ru