python ast代码检查,禁止导入危险函数包

已于 2024-01-04 17:37:18 修改
阅读量470 收藏 3
点赞数
分类专栏: python 文章标签: ast python ast应用
于 2020-12-04 15:24:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dream_dt/article/details/110647053
版权 
import ast


class CheckFun(ast.NodeVisitor):
    def __init__(self):
        super().__init__()
        self.ban_moudel = [
            "os",
            "sys",
            "socket",
            "multiprocessing",
            "requests",
        ]
        self.ban_func = ["exec", "eval"]
        self.allow = True
        self.res = []

    def visit_Import(self, node):
        # 防止导入包
        for item in node.names:
            if item.name in self.ban_moudel:
                self.allow = False
                self.res.append("不允许导入 %s包" % item.name)

    def visit_Assign(self, node):
        # 防止赋值后调用
        if node.value.id in self.ban_func:
            self.allow = False
            self.res.append("赋值右边不允许写 %s " % node.value.id)

    def visit_Call(self, node):
        # 防止直接调用
        if isinstance(node, ast.Name):
            if node.func.id in self.ban_func:
                self.allow = False
                self.res.append("不允许调用 %s " % node.func.id)

    def visit_ImportFrom(self, node):
        # 防止直接调用
        print(node.module)
        if node.module in self.ban_moudel:
            self.allow = False
            self.res.append("不允许导入 %s包" % node.module)


def test_function(fn_str):
    root_node = ast.parse(fn_str)
    ckf = CheckFun()
    ckf.visit(root_node)
    if ckf.allow:
        print("allow")
    else:
        print("unallow")
        for item in ckf.res:
            print(item)


func = """
from requests import xx
import socket
import os
import sys
b=eval
b(123)
eval(321)
def aaaaaa(text):
    import sx
    import sys
    print(1)
    return re.search(r"\d+", text).group(0)
"""

test_function(func)
彦文啊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python 的抽象语法树库ast
zhangzhechun的专栏
07-04 999
最后,我们使用 ast 的 unparse() 方法将修改后的抽象语法树转换为 Python 代码,并输出新代码。在这个例子中,我们首先定义了一个 Python 代码块,并将其传递给 ast 的 parse() 方法,将其析为抽象语法树。Pythonast(Abstract Syntax Trees,抽象语法树)库是 Python 标准库中提供的一个模块,它可以帮助你在 Python析和分析代码的抽象语法树。然后我们使用 ast 的 walk() 方法遍历抽象语法树,并提取所有的变量名。
python ast 语法分析
热门推荐
呼呼的专栏
02-20 3万+
ast(Abstract Syntax Trees)是python中非常有用的一个模块,我们可以通过分析python的抽象语法树来对python代码进行分析和修改。 ast作用在python代码的语法被析后,被编译成字节码之前。 一. ast 1. 获取语法树 ast模块的基本使用是非常简单的,我们可以通过如下代码快速得到一棵抽象语法树: import ast root_node =
python ast与用法
hjyp的博客
04-29 6894
来说,我们可以先析成抽象语法树,然后打印所有的结点,如下所示。在 python 中,我们可以通过自带的 ast 模块来对析遍历语法树,通过ast.parse()可以将字符串代码析为抽象语法树,然后通过ast.dump()可以打印这棵语法树。上面的简单示例向我们展示了几种基本结点类型(Assign、Name、Constant),接下来我们将会展示其他几种常见的结点类型和示例,完整的节点类型可以查阅。对于上面的例子,我们通过可视化可以看到,顶层是一个ast.Expr类型的结点,表示一个表达式。
python中的ast模块介绍和使用
skytttttt9394的博客
01-28 3666
新建节点时,节点的lineno和col_offset这两个属性需要关注下,我们手动创建的节点默认不带这两个属性,但是ast析的语法树中的节点携带,且需要这两个属性。从语法树中可以看出,该语句加载(Load())了名(Name())为print的函数接口(func),函数传参(args)是值为’hello world’(value)的常量(Constant)。value是单个节点。4、实例化我们定义的查找的类,然后调用接口visit(node=xxx),xxx为抽象语法树的根节点,从而实现遍历查找动作。
某壁纸网站JS逆向+混淆代码扣取AST修复+Python批量下载教程+完整代码
虚幻社区
11-06 648
由于内容相对较多,无限debugger、JS逆向、混淆代码扣取修复、Python爬虫,篇幅较长,文字教程就不提供了,
AST混淆混淆笔记:字符串常量加密
最新发布
码王吴彦祖的博客
02-01 403
本文主要是作者记笔记为主,温故而知新,记录混淆混淆代码,后期可能会更新文章细节。
python eval函数的安全替换品ast.literal_eval
zoulonglong的博客
06-04 5099
我们知道,要将一个字符串转换成对应的python类型可以使用eval()函数,但是这个函数有一定的安全漏洞(详细请参阅博客python中eval函数的使用及安全性问题),容易被不法人员利用,因此python中出了一个安全处理方式ast.literal_eval(),先看下Stack Overflow和Python官网上对这个函数释Stack OverflowPython 简单点说ast模块就是...
Pythonast模块
qq_42352516的博客
07-09 5210
ast模块 ast模块中的literal_eval方法可以把数据还原成它本身或者是能够转化成的数据类型。同时在转换时会判断需要计算的内容计算后是不是合法的python类型,如果是则进行运算,否则就不进行运算,比较安全 ...
python如何决js逆向混淆?
naer_chongya的博客
05-30 1608
JavaScript混淆是一种保护网站安全的技术,混淆可将代码进行多种变形和加密,使得 JavaScript 代码变得难以阅读和理。但是,通过 Python 脚本、正则表达式、AST 分析和 JavaScript Beautifier,我们可以为大多数混淆技术找到决方案,并使代码更易于阅读和理。在这样的情况下,密 JavaScript 代码需要更高级的技术和更深入的理。最后,我们返回格式化后的代码。基于 AST混淆混淆器可以分析代码抽象语法树,并使用各种技术来重构代码,使其难以理和修改。
极验滑块验证码破与研究(一):AST还原混淆JS
帯泪的鱼的博客
11-28 9034
极验滑块验证码破与研究(一):AST还原混淆JS声明一、环境安装1. node安装1.1. node下载1.2. 配置环境变量1.3. node安装检测1.4. pycharm配置node环境2. babel库安装2.1. babel库安装命令2.2. babel库安装检测二、AST还原混淆JS1. 模块导入2. AST还原流程3. 复制还原需要用到的js源码4. AST还原函数4.1. replace_unicode4.2. replace_unicode, replace_name_array,
python-js逆向之AST语法树初学(一)
01-08
这两天看了什么是控制流平坦化,又研究了下ast语法数,如何把混淆乱序后的代码恢复之前的样子。 知识点:1.js为 recast 2.Recast除了parse/print/builder以外, 还有三项主要功能: run: 通过命令行读取js文件,并转化成ast以供处理。 tnt(recast.types.namedTypes): 通过assert()和check(),可以验证ast对象的类型。 visit: 遍历ast树,获取有效的AST对象并进行更改。 下面举例一个案例: 通过 https://obfuscator.io/ 将原代码混淆乱序后输出,复制粘贴到饭碗里,再格式化得到: fu
instaviz即时可视化PythonAST代码对象
08-10
instaviz - 即时可视化Python AST代码对象
Python-使用AST快速方便以表达为中心的图形化Python调试器
08-10
一个Python调试器,可以在函数调用中记录表达式的值,并让您在函数退出后轻松查看它们。
python 通过文件夹导入的操作
09-16
主要介绍了python 通过文件夹导入的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python Jupyter不能导入外部问题
09-17
主要介绍了python Jupyter不能导入外部问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python中求分布函数相关的实例
09-17
主要介绍了在python中求分布函数相关的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Python中使用语句导入模块或的机制研究
09-22
主要介绍了Python中使用语句导入模块或的机制研究,同时对比了几种导入或模块的语句并简要说明了这几种方法之间的几点优劣,需要的朋友可以参考下
Python zip函数元素实例
09-18
主要介绍了Python zip函数元素实例析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
woff 字体文件析 字体结构说明
彦文的专栏
09-16 1万+
woff文件样式查看 http://fontstore.baidu.com/static/editor/index.html 在这个网址 上传woff文件 即可看到woff文件的展示效果 woff代码查看 woff文件可以用python的fontTools 打开 font = TTFont('xxx.woff') # 打开文件 font.saveXML('xxx/6329.xml'...
如何在python代码中重新导入一个
05-29
你可以使用 `importlib` 模块中的 `reload` 函数来重新导入一个已存在的模块。例如,如果你想重新导入名为 `mymodule` 的模块,可以在代码中使用以下语句: ```python import importlib import mymodule importlib.reload(mymodule) ``` 这将重新导入 `mymodule` 模块,使得其中的任何修改都可以立即生效。注意,这种方法只适用于 Python 3.x 版本,Python 2.x 版本中需要使用 `reload` 内置函数

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值