Python系统审计-笔记

最新推荐文章于 2024-06-20 17:44:19 发布
最新推荐文章于 2024-06-20 17:44:19 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZmeiXuan/article/details/79106657
版权
这篇博客详细介绍了Python系统审计的内容,包括运维安全的端口开放、弱口令检查、debug设置、代码审计中的各种注入漏洞,以及功能角度的安全授权和认证策略。涵盖了从XSS、CSRF到SQL注入、XXE等多方面的安全问题,并提出相应的防护措施。
摘要由CSDN通过智能技术生成

Python系统审计

运维安全

端口开放

1、自定义端口
2、通用端口

弱口令

1、数据库弱口令
2、redis&memcache
3、共享中间件
4、Nsf0cus!@#

debug开关

1、`\
2、django settings.py Debug=True

svn或git信息泄露

涉密存储传输

1、用base64加密码密码
2、私钥存储,权限

代码角度

XSS

1、属性动态内容
2、mark_safe,autoescape
3、dom类型
4、httpresponse返回动态内容

CSRF

1、CSRF中间件
2、表单csrf_token
3、相应view函数

命令注入<1>

1、os系列命令
2、commands系统命令
3、subprocess,shell=True

路径穿越

1、未考虑../
2、任意文件下载
3、任意文件删除
4、任意文件写入

文件上传

1、前端js控制不起作用
2、文件后缀白名单
3、文件大小控制,防dos
4、上传文件改名,rand()
5、注意上传过程中的条件竞争

最低0.47元/天 解锁文章
ChengKaoAO
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python项目代码审计_Python代码审计汇总
weixin_39861823的博客
11-29 756
1、任意代码执行任意代码执行需关注的函数,可使用正则搜索:eval\(|exec\(|execfile\(|compile\(需关注的危险库文件及函数有:os.system/popentimeit.timeitplatform.popencommands.getstatusoutputsubprocess.popen/call/check_output__import__("os").system...
python审计运用_Python操作审计策略
weixin_29035147的博客
01-12 816
# 开始时,直接使用secedit(Audit策略)配置文件时,总是无法# 进行比对成功,无论使用find函数还是使用正则匹配。# 后来发现将导出的文件换成其他的文件可以实现目标。# 与“昵称已改”网友的交流中,想到自己应该是出错在文件类型。# 对于文件类型的处理则花费了自己两天的时间。# open()函数中直接使用(u' ','r')不可以,# ...
python文件审计系统_python自动化审计及实现 – xxlegend
weixin_39894104的博客
12-08 493
0x00 摘要Python由于其简单,快速,库丰富的特点在国内使用的越来越广泛,但是一些不好的用法却带来了严重的安全问题,本文从Python源码入手,分析其语法树,跟踪数据流来判断是否存在注入点。关键词: Python 注入 源码 语法树0x01 引言Python注入问题是说用户可以控制输入,导致系统执行一些危险的操作。它是Python中比较常见的安全问题,特别是把python作为web应用层的时...
python笔记(从入门到入土)
最新发布
m0_65627817的博客
06-20 712
本篇用于记录学习的python知识,便于以后速查,不定期更新(●'◡'●)
python审计中的应用-基于python的自动化代码审计
weixin_37988176的博客
11-01 2461
本文通过介绍在python开发中经常出现的常规web漏洞,然后通过静态和动态两种方式对python代码进行自动化审计挖掘漏洞,并且展示自动化系统在自动化审计python应用代码的成果,本文比较长,请耐心阅读,惊喜在后面。从python常规漏洞来看都有一个共同点,那就是危险函数中使用了可控参数,如system函数中使用到的("mv %s’% filename),如execute函数中使用到...
Python代码审计实战案例总结之反序列化和命令执行!
爬遍所有网站
04-16 590
介绍 Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成。目前Python代码审计思路,呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行总结,以便于朋友们的学习和参考。 反序列化审计实战 反序列化漏洞在Python代码审计中属于常见高危漏洞之一,它的危害性根据执行环境略有不同,本地和远程分别为7.2和10的评分。通过评分也可得知漏洞...
python-devops-course:关于Python DevOps课程的回购
05-25
8. **监控和日志管理**:课程可能会讲解如何使用Python库如Logstash、Elasticsearch和Kibana(ELK栈)来收集、存储和分析日志,以及如何设置警报和监控系统,确保服务的稳定性和可观察性。 9. **版本控制**:Git是...
读书笔记python渗透测试.docx
04-13
### 读书笔记Python渗透测试知识点汇总 #### 黑盒测试工具 1. **Burp Suite**:一种常用的集成平台,用于执行Web应用程序的安全测试。它包含多种工具,如Proxy、Intruder、Spider等,可以帮助用户发现并利用Web...
千锋教育Python入门教程.pdf
06-13
Python入门教程】千锋教育提供的Python视频教程是...通过这套系统的学习,学员不仅可以掌握Python语言,还能具备网站开发、数据分析、自动化运维、机器学习等多种技能,增强职场竞争力,为挑战高薪职位打下坚实基础。
破碎的笔记本电脑
02-11
5. **系统诊断脚本**:编写Python脚本执行系统诊断任务,如检查系统更新、查找病毒或恶意软件、测试网络连接等。 6. **自动化修复**:利用Python的`subprocess`模块,可以调用操作系统命令执行自动化的修复过程,...
wirsharke数据包分析实战(第2版)---笔记.docx
08-05
- **案例五:安全审计**:定期进行网络安全审计,防止未经授权访问或数据泄露。 #### 六、常见问题与解决方法 - **问题1:Wireshark无法启动**:检查是否安装了最新版本的WinPcap库;确认没有其他应用程序占用相同...
Python-Pylava是一个用于Python和JavaScript的代码审计工具
08-11
Pylava是一个用于Python和JavaScript的代码审计工具
Python-Leviathan一个大规模的审计工具包
08-10
Leviathan 一个大规模的审计工具包,具有广泛的服务发现,强力,SQL注入检测和运行自定义漏洞利用功能
基于python的自动化代码审计
02-24
python常规漏洞来看都有一个共同点,那就是危险函数中使用了可控参数,如system函数中使用到的(‘mv%s’%filename),如execute函数中使用到的username参数,如HttpResponse中使用到的nickname参数,这些参数直接从第一层入口函数中传进来,或者经过简单的编码,截断等处理直接进入危险函数,导致了以上危险行为。注入判断的核心就在于找到危险函数,并且判断其参数是可控的,找到危险函数这个只需要维护一个危险函数列表即可。当在语法树中发现了函数调用并且其名称在危险列表中就可以标记出该行代码,接下来的难点就在于跟踪该函数的参数,默认认为该危险函数的外层函数的参数
Python-LightBulb是一个开源的python框架用于审计web应用程序防火墙
08-10
LightBulb是一个开源的python框架用于审计web应用程序防火墙
python审计中的应用-【干货】Python自动化审计及实现
weixin_37988176的博客
11-01 1271
在这个语法树构造中,body里包含着if构造中的语句return HttpResponse("2"),type为Compare表示该构造体为断定语句,left表示左值即源码中的type,test构造体中则是用来进行if断定,test中的ops对应着源码中的not in,表示比较断定,comparators则是被比较的元素。如许源码就和Python语法树一一对应起来,有了这些...
python 财务报表审计_用Python来分析审计行业的这10年
weixin_39748858的博客
11-24 406
昨天我无意间发现了一个新大陆,激动万分。和大家分享一下。这就是TUSHARE PRO它是什么,其实它是一个免费的数据接口,也可以说是量化交易终端平台。https://tushare.pro/register?reg=278100两年前了解了TUSHARE,那个时候它还没有上市公司的财务报表数据,只有指标数据,所以当时只用过聚宽。注册了账号,看到还有财务审计意见的报告。一下激动了。晚上写了14行代码...
python自动化审计及实现
qq_35855403的博客
08-13 2236
本文转自wooyun知识库 0x00 摘要 Python由于其简单,快速,库丰富的特点在国内使用的越来越广泛,但是一些不好的用法却带来了严重的安全问题,本文从Python源码入手,分析其语法树,跟踪数据流来判断是否存在注入点。 关键词: Python 注入 源码 语法树 0x01 引言 Python注入问题是说用户可以控制输入,导致系统执行一些危险的操作。它是Python中比较常见的安全...
python日志审计系统_bugku 日志审计 python
weixin_36315722的博客
12-24 281
打开log,长长的一片,直接搜索flag,找到后面一部分简单分析一下,在这flag之前的信息都没用,所以我就直接删除了,对id参数的值进行url解码发现这是在注入,但是这样分析太麻烦了,所以我想尝试使用python来获取数据先是获取到所有id参数的值并且将其url解码,同时把该请求的响应状态码200或404一同放入log.txt中#!/usr/bin/env python3# -*- coding...
python学习笔记--皮大庆
08-14
Python学习笔记》是由皮大庆编写的一本关于Python语言学习的教材。在这本书中,作者详细...通过学习这本书,读者可以系统地学习和掌握Python编程的基础知识和高级应用技巧,为以后的编程学习和工作打下坚实的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值