Принцип работы Бандита

@Radaman · Регистрация: 10.11.2019

Студворк — интернет-сервис помощи студентам

Здравствуйте. Возник вопрос сугубо от преподавателя по учебе: как работает инструмент "Bandit", нацеленный на поиск уязвимостей в обычной коде, либо в SQL запросах. Как он определяет ту или иную уязвимость? Он сверяет с какой-то своей БД, как например Kaspersky? Преподавателю понравились формулировка "Белые и чёрные библиотеки", однако тогда как вот этот Bandit их определяет? Иными словами каков принцип работы Bandit'a?

@New Life · 05.10.2022, 15:21

Интересная шутка. Не слышал о такой.
Видимо все построено на плагинах, аля БД: https://github.com/PyCQA/bandi... it/plugins
Прогоняет своими плагинами тесты, на те же sql-инъекции или захардкоженный пароль.

Code
1
2
3
4
5
6
7
This plugin test looks for strings that resemble SQL statements that 
are involved in some form of string building operation. For example:
 - "SELECT %s FROM derp;" % var
 - "SELECT thing FROM " + tab
 - "SELECT " + val + " FROM " + tab + ...
 - "SELECT {} FROM derp;".format(var)
 - f"SELECT foo FROM bar WHERE id = {product}"

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
This plugin test looks for all string literals and checks the following conditions:
    - assigned to a variable that looks like a password
    - assigned to a dict key that looks like a password
    - assigned to a class attribute that looks like a password
    - used in a comparison with a variable that looks like a password
Variables are considered to look like a password if they have match any one of:
    - "password"
    - "pass"
    - "passwd"
    - "pwd"
    - "secret"
    - "token"
    - "secrete"

Новые блоги и статьи Все статьи Все блоги /
Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .
Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .

@Radaman 3 / 3 / 1 Регистрация: 10.11.2019 Сообщений: 116

	Принцип работы Бандита 05.10.2022, 14:12. Показов 557. Ответов 1 Метки нет (Все метки) Здравствуйте. Возник вопрос сугубо от преподавателя по учебе: как работает инструмент "Bandit", нацеленный на поиск уязвимостей в обычной коде, либо в SQL запросах. Как он определяет ту или иную уязвимость? Он сверяет с какой-то своей БД, как например Kaspersky? Преподавателю понравились формулировка "Белые и чёрные библиотеки", однако тогда как вот этот Bandit их определяет? Иными словами каков принцип работы Bandit'a? 0