Python代码审计
关注
分享
扫一扫
Python代码审计
FLy_鹏程万里
国内网络安全研究员,专注于Web渗透、移动安全、代码审计、应急响应、内网渗透、区块链安全、云安全等研究方向,擅长渗透测试、红蓝对抗、内网渗透、云安全、区块链安全。
展开
-
从Django的SECTET_KEY到代码执行
背景最近审查代码发现某些产品在登录的JS代码中泄露了SECRET_KEY,将该值作为密码加密的盐,这样就暴露了加密salt不太好吧,更重要的是对django的安全造成了极大的威胁。SECRET_KEY作用SECTET_KEY在djanog中使用非常广泛,基本上涉及到安全,加密等的地方都用到了,下面列举一些常见情景:1,json object的签名2,加密函数,如密码重置,表单,评论...转载 2019-03-18 23:17:57 · 602 阅读 · 0 评论 -
Restful API设计指南
理解RESTful架构越来越多的人开始意识到,网站即软件,而且是一种新型的软件。这种"互联网软件"采用客户端/服务器模式,建立在分布式体系上,通过互联网通信,具有高延时(high latency)、高并发等特点。网站开发,完全可以采用软件开发的模式。但是传统上,软件和网络是两个不同的领域,很少有交集;软件开发主要针对单机环境,网络则主要研究系统之间的通信。互联网的兴起,使得这两个领域开...转载 2019-03-18 22:55:44 · 542 阅读 · 0 评论 -
REST API安全设计指南
1、REST API 简介REST的全称是REpresentational State Transfer,表示表述性无状态传输,无需session,所以每次请求都得带上身份认证信息。rest是基于http协议的,也是无状态的。只是一种架构方式,所以它的安全特性都需我们自己实现,没有现成的。建议所有的请求都通过https协议发送。REST ful web services 概念的核心就是“资源”...转载 2019-03-18 22:46:19 · 375 阅读 · 0 评论 -
python 代码审计之-命令执行漏洞
0x00 源代码def execute(request): context ={} ip= request.POST.get("ip") username= request.POST.get("username") password= request.POST.get("password") idnex= int(request.POST.get("...转载 2019-03-18 22:27:40 · 922 阅读 · 1 评论 -
【技术分享】关于Python漏洞挖掘那些不得不提的事儿
前言Python因其在开发更大、更复杂应用程序方面独特的便捷性,使得它在计算机环境中变得越来越不可或缺。虽然其明显的语言清晰度和使用友好度使得软件工程师和系统管理员放下了戒备,但是他们的编码错误还是有可能会带来严重的安全隐患。这篇文章的主要受众是还不太熟悉Python的人,其中会提及少量与安全有关的行为以及有经验开发人员遵循的规则。输入函数在Python2强大的内置函数中,输入...转载 2019-03-17 22:18:29 · 884 阅读 · 0 评论 -
python动态代码审计
动态代码审计的用处大型项目代码结构复杂 有些危险的功能隐藏较深(危险的定时计划任务、sqlite数据库任意创建导致任意文件覆盖……) 提高效率,希望通过一些黑盒的方法比较快速的找到漏洞。常见漏洞分类数据库操作 敏感函数的调用和传参 文件读写操作 网络访问操作正文目录数据库general log 日志 hook关键函数 结合auditd http盲攻击 fuzzin...转载 2019-03-17 21:56:48 · 1012 阅读 · 0 评论 -
Python安全编码与代码审计
前言现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。XSS未对输入和输出做过滤,场景:def xss_test(request): ...转载 2019-03-16 17:26:36 · 1533 阅读 · 1 评论 -
Django CSRF Bypass 漏洞分析(CVE-2016-7401)
0x00 漏洞概述1.漏洞简介Django是一个由Python写成的开源Web应用框架。在两年前有研究人员在hackerone上提交了一个利用Google Analytics来绕过Django的CSRF防护机制的漏洞(CSRF protection bypass on any Django powered site via Google Analytics),通过该漏洞,当一个网站使用了D...转载 2019-03-16 16:52:23 · 1243 阅读 · 0 评论 -
【技术分享】python web 安全总结
引言作者以前学习过php方面的安全知识,机缘巧合的情况下学习了django,在学习的过程中顺便收集总结了一下python安全方面的知识点以及近年来的相关漏洞,如果有需要修正或补充的地方,欢迎各位师傅的指出。ps:特别感谢c1tas&lucifaer两位师傅的指点。常见web漏洞在python中的示例。XSSpython下的xss其原理跟php是一样的,django近...转载 2019-03-16 16:10:30 · 2100 阅读 · 1 评论 -
【技术分享】Python安全 - 从SSRF到命令执行惨案
前两天遇到的一个问题,起源是在某个数据包里看到url=这个关键字,当时第一想到会不会有SSRF漏洞。以前乌云上有很多从SSRF打到内网并执行命令的案例,比如有通过SSRF+S2-016漏洞漫游内网的案例,十分经典。不过当时拿到这个目标,我只是想确认一下他是不是SSRF漏洞,没想到后面找到了很多有趣的东西。截图不多(有的是后面补得),大家凑合看吧。0x01 判断SSRF漏洞目标exam...转载 2019-03-16 15:26:23 · 718 阅读 · 0 评论 -
python和django的目录遍历漏洞(任意文件读取)
1. 什么是目录遍历漏洞“目录遍历漏洞”的英文名称是Directory Traversal 或 Path Traversal。指攻击者通过在URL或参数中构造../ ..%2F /%c0%ae%c0%ae/ %2e%2e%2f或类似的跨父目录字符串,完成目录跳转,读取操作系统各个目录下的敏感文件。很多时候,我们也把它称作“任意文件读取漏洞”。2. Python和Djan...转载 2019-03-16 15:11:41 · 6530 阅读 · 0 评论 -
Django任意代码执行0day漏洞分析
从Django的SECTET_KEY到代码执行。Django是一个可以用于快速搭建高性能,优雅的网站的平台,由Python写成。采用了MVC的软件设计模式,即模型M、视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。并于2005年7月在BSD许可证下发布。最近在进行网站代码审查的过程中,发现某些产品由于sessio...转载 2019-03-16 14:36:18 · 3928 阅读 · 2 评论 -
Django开发与攻防测试(入门篇)
最近在培训包括在一些比赛中,python框架方面的攻防需求出现的越来越频繁。虽然python框架相对于Java、php等的广泛度还略低一点(当然现在的流行程度已经越来越高了),但是我们并不能够因此而忽视其的安全性。比如在一些赛事中就常用flask来出题等等,所以花时间学习python框架的开发与攻防对于web选手来说还是一件比较重要的事情,所以撰写这篇文章,希望可以给一些想要快速入门的同学一点...转载 2019-03-16 13:38:26 · 702 阅读 · 0 评论 -
Python中的10个常见安全漏洞简介
简评:编写安全代码很困难,当你学习一个编程语言、模块或框架时,你会学习其使用方法。 在考虑安全性时,你需要考虑如何避免被滥用,Python 也不例外,即使在标准库中,也存在用于编写应用的不良实践。然而,许多 Python 开发人员却根本不知道它们。1. 输入注入(Input injection)注入攻击非常广泛而且很常见,注入有很多种类,它们影响所有的语言、框架和环境。SQL ...转载 2019-03-15 20:27:31 · 1061 阅读 · 0 评论