python自动化审计及实现

最新推荐文章于 2024-05-20 10:41:19 发布
最新推荐文章于 2024-05-20 10:41:19 发布
阅读量2.2k 收藏 4
点赞数
文章标签: python 参数 源码 代码 自动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35855403/article/details/80124777
版权

本文转自wooyun知识库
0x00 摘要
Python由于其简单,快速,库丰富的特点在国内使用的越来越广泛,但是一些不好的用法却带来了严重的安全问题,本文从Python源码入手,分析其语法树,跟踪数据流来判断是否存在注入点。
关键词: Python 注入 源码 语法树
0x01 引言
Python注入问题是说用户可以控制输入,导致系统执行一些危险的操作。它是Python中比较常见的安全问题,特别是把python作为web应用层的时候这个问题就更加突出,它包括代码注入,OS命令注入,sql注入,任意文件下载等。
0x02 注入的场景
主要是在web应用场景中,用户可直接控制输入参数,并且程序未做任何参数判断或者处理,直接就进入了危险函数中,导致执行一些危险的操作。主要的注入类型有:
(一)OS命令注入
主要是程序中通过Python的OS接口执行系统命令,常见的危险函数有
[AppleScript] 纯文本查看 复制代码
?
1
os.system,os.popen,commands.getoutput,commands.getstatusoutput,subprocess
等一些接口。例如:def myserve(request,fullname)s.system(‘sudo rm -f %s’%fullname),fullname是用户可控的,恶意用户只需利用shell的拼接符;就可以完成一次很好的攻击。
(二)代码注入
是说在注入点可以执行一段代码,这个一般是由python的序列话函数eval导致的,例如:def eval_

最低0.47元/天 解锁文章
qq_35855403
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python入门实战:Python的代码审计
禅与计算机程序设计艺术
11-25 313
1.背景介绍 随着互联网、移动应用、物联网、云计算等新兴技术的发展,越来越多的人开始关注与研究应用层面的安全性和健壮性问题。而对于安全敏感的企业级应用软件来说,提升代码质量、减少安全风险,也是当务之急。如何检测并快速定位潜在安全漏洞、优化代码结构,确保应用安全无忧是这个领域的重中之重。 代码审计是目前最有效的检测和定位安全漏洞的方式之一。
python审计中的应用-【干货】Python自动化审计实现
weixin_37988176的博客
11-01 1246
在这个语法树构造中,body里包含着if构造中的语句return HttpResponse("2"),type为Compare表示该构造体为断定语句,left表示左值即源码中的type,test构造体中则是用来进行if断定,test中的ops对应着源码中的not in,表示比较断定,comparators则是被比较的元素。如许源码就和Python语法树一一对应起来,有了这些...
第95天:代码审计-SAST&IAST项目&PHP&Java&NET&Python&Js&Go等测评
最新发布
weixin_71529930的博客
05-20 286
checkmark fority对各种语言都有支持,并且漏洞发现是通过跟踪语句发现的但是这里找不到安装包了。执行完成以后会在python目录下的script文件夹中生成exe文件。summary tables可以查看具体漏洞出现的位置。加载规则进数据库(每次修改规则文件都需要加载)初始化数据库,默认采用sqlite作为数据库。扫描出来的结果,红色高危,黄色中危,蓝色低危。对于扫描机制与其他工具不太一样,比较推荐。下载完压缩包以后,执行安装命令。这里该项目需要放在网站目录下。对php,js审计比较适配。
Python代码审计》(1)一款超好用的代码扫描工具
午夜安全
12-16 2163
从本文开始,我将开始介绍Python源代码审计,代码审计是检查源代码中的安全缺陷,检查源代码是否存在安全隐患,或者编码不规范的地方。通常使用自动化工具或者人工审查的方式,自动化工具效率高,但是误报率也高,并且发现的问题不够深入、全面;人工审查的方式可以全面深入的发现源代码中的安全缺陷,缺点是耗时较长。
Python的6个必须知道的优点
python588的博客
09-03 2894
本文主要介绍Python的优势中的一种语言最受欢迎的编程语言在这个世界上,多年来,计算机科学的几个领域一直在不断地创新和涌现。 它以代码可读性和简单性而闻名。然而,这只是Python优势的开始。继续阅读,找出原因Python是最好的编程语言之一。以及它如何征服了令人羡慕的人气。 目录 ➤Python有多流行? Python的优势 1.高水平使它更容易 2.多用途、多范式 3.图书馆、框架和工具 6.强大的共同体 Python是什么? Python被认为是一种高级的、解释的、通用.
python优势有哪些?
CZ-001的博客
02-04 6132
ol是英文ordered list的缩写,翻译为中文是有序列表。有序列表是一种强调排列顺序的列表,使用 标签定义,内部可以嵌套多个 标签。例如网页中常见的歌曲排行榜、游戏排行榜等都可以通过有序列表来定义。定义有序列表的基本语法格式如下: 列表项1 列表项2 列表项3 ......   在上面的语法中, 标签用于定义有序列表, 为具体的列表项,和无序列表类似,每对中 也至少应包含一对 。   在有序列表中,除了type属性之外,还可以为 定义start属..
大数据环境下Python语言在会计师事务所审计中的应用研究.pdf
06-28
大数据环境下Python语言在会计师事务所审计中的应用研究.pdf
基于python自动化代码审计
02-24
python常规漏洞来看都有一个共同点,那就是危险函数中使用了可控参数,如system函数中使用到的(‘mv%s’%filename),如execute函数中使用到的username参数,如HttpResponse中使用到的nickname参数,这些参数直接从...
Python自动化运维项目开发实战_打造Linux系统安全审计功能_编程案例实例课程教程.pdf
04-23
为了解决网络安全的问题,人们采取了各式各样的防护措施来保证网络或服务的正常运行,其中系统安全审计是记录入侵攻击主机的一个重要凭证:实时跟踪黑客的操作记录,可在第一时间监测到攻击者的行为,并让管理员采取相应...
自动化审计系统建设下1
08-03
自动化审计系统建设下1】 ...通过以上设计和配置,自动化审计系统能够实现高效、自动化的代码扫描和安全审计,同时具备良好的扩展性和可维护性,满足不同角色的需求,如CI/CD系统、安全审计人员和开发人员。
Python Linux系统维护与自动化运维
05-21
Python Linux系统维护与自动化运维》是一本专为IT专业人士准备的指南,它详细阐述了如何利用Python语言在Linux环境中进行高效系统维护和自动化运维。这本书深入浅出地介绍了Python和Linux结合使用的各项核心技术,...
python项目代码审计_Python代码审计汇总
weixin_39861823的博客
11-29 729
1、任意代码执行任意代码执行需关注的函数,可使用正则搜索:eval\(|exec\(|execfile\(|compile\(需关注的危险库文件及函数有:os.system/popentimeit.timeitplatform.popencommands.getstatusoutputsubprocess.popen/call/check_output__import__("os").system...
python 财务报表审计_审计事件表
weixin_39774682的博客
11-24 140
array.__new__typecode, initializerbuiltins.breakpointbreakpointhookbuiltins.ididbuiltins.inputpromptbuiltins.input/resultresultcode.__new__code, filename, name, argcount, posonlyargcount, kwonlyargcou...
ROSE笔记-[ACTF2020 新生赛]Include1-WP
居上
10-23 418
Cft刷题笔记[ACTF2020 新生赛]Include1过程"php://input"伪协议(失败)"php://filter"伪协议(成功)总结: [ACTF2020 新生赛]Include1 过程 打开靶机 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a43Sj6KS-1603432177988)(C:\Users\Polaris\AppData\Roaming\Typora\typora-user-images\image-20201023133240992.png
python文件审计_用150行python代码来做代码审计笔记
weixin_39980234的博客
12-08 288
你是否觉得有时候人类的思考模式很像正则匹配?本文包括以下几个部分:1、为什么我觉得可以用这个工具(个人认为)2、我为什么写这个工具3、工具的实现思路4、工具的升级思路5、源代码的 github 地址6、使用测试7、最后说两句为什么我觉得可以用这个工具(个人认为)通过审计源代码,也就是查看源代码,来发现其中存在的隐患,代码审计需要对被审计的语言有充分的了解,不仅是能读懂源代码,还要了解语言本身的缺陷...
[De1CTF 2019]SSRF Me 1——python代码审计
m0_62879498的博客
05-09 597
[De1CTF 2019]SSRF Me 1 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__)
python的优缺点有哪些-Python有哪些优缺点,你了解吗?
weixin_37988176的博客
11-01 1861
Python语言的优点介绍:1、简单:Python是一种代表简单主义思想的语言。阅读一个良好的Python程序好像阅读英文一样,尽管要求非常严格。Python这种伪代码的本质就是最大的优点之一。2、易学:Python非常容易上手,拥有简单的语法。3、免费:Python是FLOSS(自由/开放源码软件)之一。你可以自由地发布这个软件的拷贝、阅读它的源代码、对它做改动、把它的一部分用于新的自由软件中。...
Python代码审计中常见的漏洞(三)
武天旭的博客
05-31 895
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题:
python分析财务报表
热门推荐
qq_34739497的博客
03-25 5万+
前言 其实这也是老师要求我们分析的一个项目,所以记录下分析的过程。 财务大数据作为大数据方向的一个热门方向,如果能学好,对于我们的今后工作是会有很大帮助的,同时目前市场人才需求也是很大的。 实验目的 利用python构建财务报表,并进行一些财务分析。 实验过程 利用python爬虫爬取A股数据报表 这一步是同学做的,写的还不错,实验步骤参考如下链接: Requests...
python自动化运维学习路线
03-06
当涉及到Python自动化运维学习路线时,以下是一些关键的主题和技能,你可以按照这个路线来学习: 1. Python基础知识:首先,你需要掌握Python的基本语法、数据类型、流程控制和函数等基础知识。这将为你后续的学习...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值