🖧 Git-Vuln-Finder – Поиск нивоциальных уязвимостей программного обеспечения в сообщениях Git Commit – تیم امنیت اطلاعات

ازvpn

Поиск потенциальных уязвимостей программного обеспечения в сообщениях دستگاه گوارش را مرتکب شوند.

Выходным форматом является JSON со связанным коммитом، который может содержать исправление، касающееся уязвимости программного обеспечения.

Поиск основан на наборе регулярных выражений только для сообщений фикса. [19659003

git-vuln-finder جایگزяется с 3 шаблонами по умолчанию، которые можно выбрать для поискапроциальньныхххйххх ак:

Пример частичного вывода из репозитория حلقوی حلزونی 

 python3 finder.py -r / home / adulau / git / curl | جی کو
...
 "6df916d751e72fc9a1febc07bb59c4dd886c043": {
    "پیام": "loadlibrary: فقط DLL های سیستم بارگذاری از فهرست سیستم nnnspasion ارائه شده توسط: دانیل استنبرگ و ری SatironnBug: https://curl.haxx.se/docs/adv_20160530.htmlnnRef: ربودن ویندوز DLL با حلقه ، CVE-2016- 4802n "،
    "زبان": "en" ،
    "commit-id": "6df916d751e72fc9a1febc07bb59c4ddd886c043" ،
    "خلاصه": "loadlibrary: فقط DLL سیستم بارگیری از فهرست سیستم" ،
    "آمار":
      "درج": 180 ،
      "حذف": 8 ،
      "خط": 188 ،
      "پرونده ها": 7
    ،
    "نویسنده": "استیو هولم" ،
    "نویسنده-ایمیل": "[email protected]" ،
    "authored_date": 1464555460 ،
    "commit_date": 1464588867 ،
    "شاخه ها": [
      "master"
    ] ،
    "pa ttern-select": "(؟ i) (انکار سرویس | bXXEb | اجرای کد از راه دور | تغییر مسیر بوپن | OSVDB | bvuln | bCVEb | bXSSb | bReDoSb | bNVDb | مخرب | x − frame − گزینه ها | حمله | سایت متقاطع | سوءاستفاده | مخرب | فهرست گذرگاه | bRCEb | bdosb | bXSRF b | bXSSb | clickjack | session.fixation | ربودن | badvisory | binsecure | امنیت | bcross − مبدا | غیر مجاز [z|s] ed | حلقه نامحدود) "،
    "الگوی-مسابقات": [
      "hijack"
    ] ،
    "منبع": "[email protected]: curl / curl.git" ،
    "orig-github-api": "https://api.github.com/repos/curl/curl/commits/6df916d751e72fc9a1febc07bb59c4ddd886c043"،
    "برچسب ها": [] ،
    "غار": [
      "CVE-2016-4802"
    ] ،
    "دولت": "cve-caktuar"
  ،
  "c2b3f264cb5210f82bdc84a3b89250a611b68dd3": {
    "پیام": "CONNECT_ONLY: اتصال را به GSS 401/407 reponsesnn وصل نکنید. به طور واضح ، اتصالات بلافاصله قبل از اینکه کاربر مجبور به استخراج سوکت شود بسته شد وقتی پروکسی مورد نیاز Ne gotiatenauthentication بود. # 655n "،
    "زبان": "en" ،
    "commit-id": "c2b3f264cb5210f82bdc84a3b89250a611b68dd3" ،
    "خلاصه": "CONNECT_ONLY: اتصال به پاسخهای GSS 401/407 را قطع نکنید" ،
    "آمار":
      "درج": 4 ،
      "حذف": 2 ،
      "خط": 6 ،
      "پرونده ها": 1
    ،
    "نویسنده": "مارسل راد" ،
    "نویسنده-ایمیل": "[email protected]" ،
    "authored_date": 1455523116
    "commit_date": 1461704516 ،
    "شاخه ها": [
      "master"
    ] ،
    "الگوی انتخاب شده": "(؟ من) (انکار سرویس | bXXEb | اجرای کد از راه دور | تغییر مسیر بوپن | OSVDB | bvuln | bCVEb | bXSSb | bReDoSb | bNVDb | مخرب | x − قاب − گزینه ها | حمله | سایت متقاطع | بهره برداری | مخرب | فهرست گذرگاه | bRCEb | bdosb | bXSRF b | bXSSb | clickjack | session.fixation | ربودن | بدخلقی | کارفرمایان | امنیت | bcross − اوریگبی nb | غیرمجاز [z|s] ed | حلقه نامحدود) "،
    "الگوی-مسابقات": [
      "security "
    ] ،
    "منبع": "[email protected]: curl / curl.git" ،
    "orig-github-api": "https://api.github.com/repos/curl/curl/commits/c2b3f264cb5210f82bdc84a3b89250a611b68dd3"،
    "برچسب ها": [] ،
    "دولت": "تحت بررسی"
  ،
...

Извлечение идентификаторов CVE из сообщений git 

 "98d132cf6a879faf0147aa83ea0c07ff326260ed": {
    "پیام": "اضافه کردن یک ماکرو برای آزمایش ادعا در هر دو اشکال زدایی و تولید اگر ما یک ادعا داشته باشیم و سپس در یک debug build بخواهیم سقط کنیم () که اتفاق بیفتد. در ساخت تولیدی ما ضعف می کنیم.
تابع برگشت یک خطا. این یک ماکرو جدید را برای کمک به آن معرفی می کند. ایده این است که استفاده مجدد از OPENSSL_assert () را با این کلان جدید جایگزین کنید. مشکلی با مشکل غیر
_assert () این است که در مورد عدم موفقیت در هر دو ساخت تولید debugnand () متوقف می شود. هیچگاه نباید این تصمیم یک کتابخانه برای متوقف کردن ناکارآمدی باشد (تصمیمی نمی گیریم که کی تصمیم بکشیم
او دستگاه پشتیبانی از زندگی یا سیستم کنترل راکتور هسته ای). علاوه بر این اگر یک مهاجم ادعا کند که مورد حمله قرار می گیرد ، می تواند منبع DoS sulne.g.g باشد. CVE-20 را ببینید
17-3733، CVE-2015-0293، CVE-2011-4577 and CVE-2002-1568.nnReviewed-by: Tim Hudson  n (ادغام شده از https://github.com/openssl/o penssl / pull / 3496) "،
    "commit-id": "98d132cf6a879faf0147aa83ea0c07ff326260ed" ،
    "خلاصه": "ماکرو را برای آزمایش ادعا در ساخت اشکال زدایی و ساخت اضافه کنید" ،
    "آمار":
      "درج": 18 ،
      "حذف": 0 ،
      "خط": 18 ،
      "پرونده ها": 1
    ،
    "نویسنده": "مت کازول" ،
    "نویسنده-ایمیل": "[email protected]" ،
    "authored_date": 1495182637 ،
    "commit_date": 1495457671،
    "شاخه ها": [
      "master"
    ] ،
    "الگوی انتخاب شده": "(؟ من) (انکار سرویس | bXXEb | اجرای کد از راه دور | تغییر مسیر بوپن | OSVDB | bvuln | bCVEb | bXSSb | bReDoSb | bNVDb | مخرب | x − قاب − گزینه ها | حمله | سایت متقاطع | سابق
ploit | مخرب | فهرست گذرگاه | bRCEb | bdosb | bXSRF b | bXSSb | clickjack | session.fixation | ربودن | badvisory | بنزین | امنیت | bcross − مبدا | غیرمجاز [z|s] ed | حلقه نامحدود) "،
    "الگوی-مسابقات": [
      "attack"
    ]
    "غار": [
         "CVE-2017-3733",
      "CVE-2015-0293",
      "CVE-2011-4577",
      "CVE-2002-1568"
    ] ،
    "دولت": "cve-caktuar"
  }

Скачать گیت-ولن یاب