Python安全工具开发思路分享

248 篇文章 2 订阅
161 篇文章 0 订阅

前言

安全的起点是脚本小子,安全的路程是代码,安全终点是自动化。我最开始要去写代码的时候是因为想用一个工具,但是全网资源找不到,于是一狠心,自己去做一个这样的工具。最开始就是简单学习代码知识,个人建议最开始还是Python或者Go,Python在数据处理和Ai这里其实都很有优势,Go的优势是比Python快,同时线程高并发。

我的理解是工具的自动化其实就是代替人去做重复工作的事情,比如一个漏洞扫描器,常规的漏扫工具的原理就是通过已知的poc,代替人工去尝试,通过特定的请求和返回特征去判断是否存在。

简单来说就是输入,请求,响应,判断,处理。

01.

输入

第一步是输入,自动化的工具等待用户输入相关参数和信息,比如url、可选选项。这里拿Find-something的源码来做演示:

Python常用的命令行脚本模块是argparse,这个是一个接受命令行参数的Python模块。

parse_args()函数定义了脚本可以接受的参数。例如-u用于目标URL,entrance()函数调用parse_args()来解析命令行参数并将它们存储在args变量中。

如果提供了-f参数,则脚本会读取文件并将其传递给

frame.check_frame(file).fileDeal()

deal.Deal(file).fileDeal()

具体取决于提供的其他参数‍

如果提供了-m,则调用

frame.check_frame(file).fileDeal()

如果提供了-p,则调用

deal.Deal(file).fileDeal()

如果既没有提供-m也没有提供-p,则两个函数都会按顺序调用。

请求

02.

第二步是请求,这里主要讲一个方法的参数,常用的就是requests。

Requsets是一个Python的第三方库,一般用这个的理由是因为它可以定制化请求参数。

一般在工具中核心参数如下:

第一个参数,url,一般是目标加上poc的url,也就是请求路径。

第二个参数,header, 请求过程中的请求头这里有个小技巧:

在定义请求头的过程中可使用随机值,来随机X-Real-IP,这样能绕过一些防火墙的限制,提高准确率。

第三个参数,data,用来定义POST请求的body,post的内容。

第四个参数,verify,如果目标https请求中需要ssl认证,加入这个参数可以绕过认证。

第五个参数,time,主要控制一次请求的超时,如果请求在规定时间内没有响应则会报错。

03.

响应

请求完毕后会获得一个响应的对象,对应上述图中的respone。响应体分为respone.header响应体的头,通常包括一些响应信息。

repone.status_code也就是响应的返回值,通常200就是响应,301跳转。

还有就是响应的内容,repone.text,它通常是判断的依据。

判断

04.

判断,是一个自动化脚本准确性的依据,也就是特征值,在一个脚本中,通过是通过响应的所有内容来判断。

例如通过判断响应中是否有204来判断漏洞是否存在。

05.

处理

处理数据是很重要的部分。比如异常的处理,如果超时就会产生报错,报错后程序就会中断,导致后边的内容无法执行。另外还有结果保存的处理等场景。

小结

以上就是Python安全工具开发的一条思路分享。现在主流的开发模式都是来写框架,用yaml来写轮子,这样便于维护。

最后想给大家推荐一款工具cursor,我愿称它为编程界的魔法海螺!有一些东西我都可以交给它去做,亲测好用,能大大节省开发过程中的时间。

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]


在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
在这里插入图片描述
在这里插入图片描述

  • 25
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值