Python中的10个常见安全漏洞及修复方法

最新推荐文章于 2023-04-13 21:30:29 发布
最新推荐文章于 2023-04-13 21:30:29 发布
阅读量385 收藏 2
点赞数
文章标签: Python 程序员 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FHGFHFYUUGY/article/details/100548661
版权

 

编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例。然而,许多 Python 开发人员却根本不知道这些。

以下为10个Python常见安全漏洞,排名不分先后。

 

1.输入输出

 

注入攻击影响广泛且很常见,注入有很多种类,它们影响所有的语言、框架和环境。

SQL 注入是直接编写 SQL 查询(而非使用 ORM) 时将字符串与变量混合。我读过很多代码,其中“引号字符转义”被认为是一种修复,但事实并非如此,可以通过这个链接(https://www.netsparker.com/blog/web-security/sql-injection-cheat-sheet/)查看 SQL 注入所有可能发生的方式。

命令注入有可能在使用 popen、subprocess、os.system 调用一个进程并从变量中获取参数时发生,当调用本地命令时,有人可能会将某些值设置为恶意值。

下面是个简单的脚本(链接:https://www.kevinlondon.com/2015/07/26/dangerous-python-functions.html),使用用户提供的文件名调用子进程:

 

 

攻击者会将filename的

最低0.47元/天 解锁文章
编程只为
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python常见漏洞_Python常见安全漏洞修复方法集合!你所不会的这里都有!...
weixin_42523975的博客
01-29 717
【51CTO技术沙龙】10月27日,让我们共同探索AI场景化应用实现之道 -->概述编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库,也存在着许多糟糕的实例。然而,许多 Python 开发人员却根本不知道这些。以下是我总结的10个Python常见安全漏洞,排名不分先后。1、输入...
CVE-2019-11043:Neex的(PoC)CVE-2019-11043 Python版本
03-08
PoC CVE-2019-11043 CVE-2019-11043漏洞利用的Python版本 此PoC仍然是草稿,请使用编写的漏洞利用漏洞分析: : PoC设定 只需运行docker compose即可启动nginx和php-fpm: # docker-compose up -d Creating network " cve-2019-11043-git_app_net " with driver " bridge " Creating php ... done Creating nginx ... done 如果您想阅读php-fpm日志,可以运行: docker logs --tail 10 --follow php 开发 # python3 exploit.py --url http://localhost/index.php [ * ] QSL candidate:
CVE-2019-11477漏洞详解详玩(删)
Netfilter
06-28 6279
几天前,为了备注,2019年的6月17号吧,一个Linux/FreeBSD系统的漏洞爆出,就是CVE-2019-11477,Netflix的公告为: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md Redhat的链接为: https://access.redha...
CVE-2019-0708 补丁下载地址与漏洞修复办法
热门推荐
网站安全专家
05-17 4万+
Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击,该服务器漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多。 目前国内使用windows服务器的公司,以及网站...
Python常见安全漏洞修复方法.zip
10-16
本资料"Python常见安全漏洞修复方法.zip"包含了关于Python安全的重要信息,主要文件是"Python常见安全漏洞修复方法.pdf",以下将对其可能涵盖的关键知识点进行详细阐述。 1. 输入验证不足:Python应用程序...
Python常见安全漏洞修复方法.pdf
06-29
Python常见安全漏洞修复方法.pdf
Python-Bandit是一个旨在查找Python代码常见安全问题的工具
08-10
Python-Bandit是一款专为检测Python源代码的潜在安全漏洞而设计的静态分析工具。它通过对代码进行深度扫描,寻找可能存在的安全弱点,如不安全的输入验证、不当的密码处理、潜在的命令注入等。这个工具对于开发者...
python-安全漏洞整改意见.docx
06-11
python 安全漏洞整改意见 Python是一种高级编程语言,广泛应用于各种领域,包括Web开发、数据分析、人工智能等。然而,由于其开放性和灵活性,Python也存在一些安全漏洞,这些漏洞可能会导致数据泄露、系统崩溃等...
Python技术安全编程常见问题解决方法.docx
最新发布
07-30
除了上述措施,还有其他安全编程原则,如使用最新版本的库和框架,及时修复已知的安全漏洞,以及遵循最小权限原则,确保每个组件仅拥有完成其任务所需的最小权限。定期进行代码审计和安全测试也很重要,可以帮助发现...
StackAttack:利用基于堆栈的缓冲区溢出的Python程序
02-25
全面披露 我最近通过了OSCP考试,选择不使用我的工具。 进攻性安全性明确指出,他们不会对不允许使用的工具发表评论,因此我没有理会他们。 如果您选择在考试使用此功能,则后果自负! StackAttack 用python3编写的工具,用于利用基于堆栈的简单缓冲区溢出。 该工具包含8个功能,可帮助利用缓冲区溢出漏洞。 我创建了此工具,以便为从事OSCP认证工作的人员节省更多时间。 由于更容易实现(即通过套接字发送ascii数据),因此我使用Python2来教我遇到的大多数缓冲区溢出资源。 如您所知,python2在2020年初是日落,现在有一天可能会从主流发行版消失。 出于这个原因,我选择使用此工具跳到python3,并在此过程学习一些新概念。 StackAttack要求在攻击者系统上和攻击者的路径上安装以下软件:metasploit-framework(检查发行版的repo或访问
OpenSSH 安全漏洞(CVE-2019-6111) 欺骗安全漏洞(CVE-2019-6110)欺骗安全漏洞(CVE-2019-6109)解决办法
weixin_43103905的博客
05-07 1万+
漏洞情况 如标题三个漏洞未2019年1月26日发布,发现存在该问题的设备使用的是OpenSSH 7.9版本。 三个安全漏洞问题为scp相关问题,出现在openssh-client。 解决办法: 目前发现成功解决该问题的方式是在openssh官网找到,官网于4月26日发布最新OpenSSH 8.0版本提到: 原引:https://www.openssh.com/txt/release-8.0 T...
python常见漏洞_注意!Python10个常见安全漏洞修复方法
weixin_28192383的博客
01-29 685
原标题:注意!Python10个常见安全漏洞修复方法源 /Python程序员编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库,也存在着许多糟糕的实例。然而,许多 Python 开发人员却根本不知道这些。以下是我总结的10个Python常见安全漏洞,排名不分先后。1、输入注入注入...
python email模块详解_python模块之email: 电子邮件编码解码 (一、解码邮件)
weixin_39545017的博客
12-05 2043
python自带的email模块是个很有意思的东西,它可以对邮件编码解码,用来处理邮件非常好用。处理邮件是一个很细致的工作,尤其是解码邮件,因为它的格式变化太多了,下面先看看一个邮件的源文件:Received: from 192.168.208.56 ( 192.168.208.56 [192.168.208.56] ) byajax-webmail-wmsvr37 (Coremail) ; Th...
Linux修复Python漏洞 - Anaconda更新Python版本
weixin_42269443的博客
04-13 806
查找编号为CVE-2020-27619的漏洞信息,找到对应补丁包,通过Anaconda升级Python至指定版本,修复Python漏洞
Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析
weixin_34345753的博客
04-10 428
作者:Badcode@知道创宇404实验室时间:2019年4月8日 看到官方发布了预警,于是开始了漏洞应急。漏洞描述指出Confluence Server与Confluence Data Center的Widget Connector存在服务端模板注入漏洞,***者能利用此漏洞能够实现目录穿越与远程代码执行。 确认漏洞点是Widget Connector,下载最新版的比对补丁,发现在com\a...
ES文件管理器未授权访问漏洞(CVE-2019-6447)
公众号shadow sock7
01-20 3865
漏洞描述 在受害者ES文件管理器启动一次后,会开放TCP端口59777作为HTTP服务器。攻击者可在没有访问控制的wifi环境下通过构造json请求,读取受害者的文件,启动受害者任意app。受害者手机无需root,攻击者也无需授权凭据。 影响范围: ES文件管理器 4.1.9.7.4 and below 经测试在root和非root手机上4.1.9.4版本ES文件管理器(http://shouji...
安全漏洞干货-linux漏洞修复命令
明哥哥知识分享
09-23 796
1、漏洞名称:RHSA-2019:2197: elfutils security,bug fix,和 enhancement update 修复命令:yum update elfutils-default-yama-scope -y &&yum update elfutils-libelf -y &&yum update elfutils-libs -y cve编号:CVE-2018-16062,CVE-2018-16402,CVE-2018-16403,CVE-2018-1
看我如何发现(并修复Python 源代码漏洞
smellycat000的专栏
01-04 529
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士James Kettle 此前曾就 web 缓存投毒发布了一篇研究文章,本文作者为了更深入地了解这个领域的知识并查找开源领域的相关漏洞...
python资源管理错误漏洞_Python10个常见安全漏洞修复方法
06-13
好的,以下是Python10个常见安全漏洞修复方法: 1. 资源管理错误漏洞:在使用文件、网络连接等资源时,没有正确处理异常或释放资源,导致资源泄漏或被滥用。修复方法:使用try-finally或with语句确保资源释放,或使用上下文管理器。 2. 注入漏洞:在使用动态SQL查询时,没有正确过滤用户输入,导致恶意代码被注入并执行。修复方法:使用参数化查询,或使用ORM框架。 3. XSS漏洞:在Web应用,没有正确过滤和编码用户输入,导致恶意代码被注入并执行。修复方法:使用HTML编码或转义,或使用模板引擎。 4. CSRF漏洞:攻击者通过伪造请求,利用用户的身份在受信任的网站上执行操作。修复方法:使用CSRF令牌,或在请求添加Referer检查。 5. 加密弱点:使用弱加密算法或不正确的密钥管理,导致加密数据易受攻击。修复方法:使用强加密算法和密钥管理,如AES、RSA等。 6. 权限管理漏洞:没有正确限制用户的权限,导致用户可以执行未授权的操作。修复方法:使用RBAC、ACL等权限管理模型,或使用框架提供的权限管理功能。 7. 文件上传漏洞:没有正确验证和限制用户上传的文件类型和大小,导致恶意文件被上传并执行。修复方法:限制文件类型和大小,并对上传的文件进行检测和处理。 8. DOS攻击:攻击者通过发送大量请求或恶意数据包,导致服务器或应用程序崩溃或无法响应。修复方法:使用限流、防火墙等技术进行防御。 9. 认证漏洞:没有正确验证用户的身份和权限,导致未经授权的用户可以访问敏感数据或执行操作。修复方法:使用安全认证协议、密码加盐、多因素认证等技术进行防御。 10. 代码注入漏洞:在使用动态代码执行时,没有正确过滤用户输入,导致恶意代码被注入并执行。修复方法:使用静态代码分析、白名单过滤等技术进行防御。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值