Fly_鹏程万里

专注于IT技术,只做IT技术的分享与研究,欢迎广大IT技术人员参与分享与讨论!...

排序:
默认
按更新时间
按访问量
RSS订阅

从Django的SECTET_KEY到代码执行

背景 最近审查代码发现某些产品在登录的JS代码中泄露了SECRET_KEY,将该值作为密码加密的盐,这样就暴露了加密salt不太好吧,更重要的是对django的安全造成了极大的威胁。 SECRET_KEY作用 SECTET_KEY在djanog中使用非常广泛,基本上涉及到安全,加密等的地方都...

2019-03-18 23:17:57

阅读数 35

评论数 0

Restful API设计指南

理解RESTful架构 越来越多的人开始意识到,网站即软件,而且是一种新型的软件。 这种"互联网软件"采用客户端/服务器模式,建立在分布式体系上,通过互联网通信,具有高延时(high latency)、高并发等特点。 网站开发,完全可以采用软件开发的模式。但是传统上,软件...

2019-03-18 22:55:44

阅读数 69

评论数 0

REST API安全设计指南

1、REST API 简介 REST的全称是REpresentational State Transfer,表示表述性无状态传输,无需session,所以每次请求都得带上身份认证信息。rest是基于http协议的,也是无状态的。只是一种架构方式,所以它的安全特性都需我们自己实现,没有现成的。建议...

2019-03-18 22:46:19

阅读数 43

评论数 0

python 代码审计之-命令执行漏洞

0x00 源代码 def execute(request): context ={} ip= request.POST.get("ip") username= request.POST.get("username") p...

2019-03-18 22:27:40

阅读数 47

评论数 0

【技术分享】关于Python漏洞挖掘那些不得不提的事儿

前言 Python因其在开发更大、更复杂应用程序方面独特的便捷性,使得它在计算机环境中变得越来越不可或缺。虽然其明显的语言清晰度和使用友好度使得软件工程师和系统管理员放下了戒备,但是他们的编码错误还是有可能会带来严重的安全隐患。 这篇文章的主要受众是还不太熟悉Python的人,其中会提及少量与...

2019-03-17 22:18:29

阅读数 104

评论数 0

python动态代码审计

动态代码审计的用处 大型项目代码结构复杂 有些危险的功能隐藏较深(危险的定时计划任务、sqlite数据库任意创建导致任意文件覆盖……) 提高效率,希望通过一些黑盒的方法比较快速的找到漏洞。 常见漏洞分类 数据库操作 敏感函数的调用和传参 文件读写操作 网络访问操作 正文目录 数据库...

2019-03-17 21:56:48

阅读数 263

评论数 0

Python安全编码与代码审计

前言 现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。...

2019-03-16 17:26:36

阅读数 42

评论数 0

Django CSRF Bypass 漏洞分析(CVE-2016-7401)

0x00 漏洞概述 1.漏洞简介 Django是一个由Python写成的开源Web应用框架。在两年前有研究人员在hackerone上提交了一个利用Google Analytics来绕过Django的CSRF防护机制的漏洞(CSRF protection bypass on any Django...

2019-03-16 16:52:23

阅读数 30

评论数 0

【技术分享】python web 安全总结

引言 作者以前学习过php方面的安全知识,机缘巧合的情况下学习了django,在学习的过程中顺便收集总结了一下python安全方面的知识点以及近年来的相关漏洞,如果有需要修正或补充的地方,欢迎各位师傅的指出。 ps:特别感谢c1tas&lucifaer两位师傅的指点。 ...

2019-03-16 16:10:30

阅读数 64

评论数 0

【技术分享】Python安全 - 从SSRF到命令执行惨案

前两天遇到的一个问题,起源是在某个数据包里看到url=这个关键字,当时第一想到会不会有SSRF漏洞。 以前乌云上有很多从SSRF打到内网并执行命令的案例,比如有通过SSRF+S2-016漏洞漫游内网的案例,十分经典。不过当时拿到这个目标,我只是想确认一下他是不是SSRF漏洞,没想到后面找到了很多有...

2019-03-16 15:26:23

阅读数 33

评论数 0

python和django的目录遍历漏洞(任意文件读取)

1. 什么是目录遍历漏洞 “目录遍历漏洞”的英文名称是Directory Traversal 或 Path Traversal。指攻击者通过在URL或参数中构造 ../ ..%2F /%c0%ae%c0%ae/ %2e%2e%2f 或类似的跨父目录字符串,完成目录跳转,读取操作系统...

2019-03-16 15:11:41

阅读数 238

评论数 0

Django任意代码执行0day漏洞分析

从Django的SECTET_KEY到代码执行。Django是一个可以用于快速搭建高性能,优雅的网站的平台,由Python写成。 采用了MVC的软件设计模式,即模型M、视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。并于2...

2019-03-16 14:36:18

阅读数 53

评论数 0

Django开发与攻防测试(入门篇)

最近在培训包括在一些比赛中,python框架方面的攻防需求出现的越来越频繁。 虽然python框架相对于Java、php等的广泛度还略低一点(当然现在的流行程度已经越来越高了),但是我们并不能够因此而忽视其的安全性。比如在一些赛事中就常用flask来出题等等,所以花时间学习python框架的开发...

2019-03-16 13:38:26

阅读数 20

评论数 0

Python中的10个常见安全漏洞简介

简评:编写安全代码很困难,当你学习一个编程语言、模块或框架时,你会学习其使用方法。 在考虑安全性时,你需要考虑如何避免被滥用,Python 也不例外,即使在标准库中,也存在用于编写应用的不良实践。然而,许多 Python 开发人员却根本不知道它们。 1. 输入注入(Input injectio...

2019-03-15 20:27:31

阅读数 64

评论数 0

提示
确定要删除当前文章?
取消 删除