python open文件安全隐患_python的其他安全隐患

最新推荐文章于 2024-03-05 00:00:00 发布
最新推荐文章于 2024-03-05 00:00:00 发布
阅读量142 收藏
点赞数
文章标签: python open文件安全隐患
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39525865/article/details/113493110
版权

零、绪论

python这里以python2.7为研究对象,对应的我们会简要说明一下python3,其他指与反序列化无关的安全隐患问题。

一、标准输入输出:

1、首先,我们来看下标准输入输出

1 importsys2 #常用参数:

3 sys.stdin.read()4 sys.stdin.readline()5 sys.stdin.readlines()6 sys.stdin.write()7 sys.stdin.writelines()8 sys.stdin.flash()9 sys.stdin.close()10 sys.stdout.read()11 sys.stdout.readline()12 sys.stdout.readlines()13 sys.stdout.write()14 sys.stdout.writelines()15 sys.stdout.flash()16 sys.stdout.close()

本质上都是buffer,对于判断否有数据可以使用isatty()

打印到文件,可以使用sys.stdout=fd

2、测试一段代码:

1 importos2 print input()

你输入os.system('id')就会出结果,不信的话可以尝试哦(对于python2.x)。

你可以查看help(input)

'''Help on built-in function input in module __builtin__:

input(...)

input([prompt]) -> value

Equivalent to eval(raw_input(prompt)).

(END)'''

所以使用raw_input 就可以避免这个问题,这也是问啥python2.7推荐使用raw_input的原因,raw_input基本相当于sys.stdin.readline().strip(),也就是去掉了最后的换行符号。

python3取消了raw_input,input等于python2.7的raw_input

二、assert代码执行:

1 assert isinstance(os.system(id),int)

assert 后面应该是一个判断,本质上是assert true 或者assert false(这种情况会raise AssertError)

但是咱这个判断里面可以做到代码执行,当然通过代码执行也可以做到命令执行啦。

所以assert一般只能用于测试,不能再发布版本中使用。

三、模块注入、导入代码执行、猴子补丁

1、导入代码执行很简单,就是你在引入的模块中定义执行的代码在import语句中会执行,但不包括if __name__ == "__main__"中的代码。

2、另外在命令行输入中检查到python -/-c/-m等都会导致当前目录加入sys.path

3、猴子补丁是指动态修改程序指令

1 __builtins__.False, __builtins__.True =True, False2 shutil.copy.__code__ = (lambda src, dst: dst).__code__

3 x_obj.__class__ = Y

以上代码都动态改变了程序的指令结果,尤其是第一行,直接把true和false都反转了,当然在python3后这第一行是无法运行的。

weixin_39525865
关注
Python安全编程:避免常见安全漏洞及防范措施
AI天才研究院
08-11 357
2021年,随着AI领域的火爆、互联网平台的壮大、传统行业的转型升级,企业应用机器学习技术解决了很多问题。然而,在实际生产环境中,仍然存在一些安全风险需要注意,如数据泄露、网络攻击、程序漏洞等。本文将以实际案例出发,深入分析并总结目前已知的“Python安全编程”相关的常见安全漏洞及防范措施,为Python开发者提供一个可行的安全防护策略。静态代码检查工具的使用Python代码安全之依赖包管理文件上传漏洞SQL注入攻击CSRF跨站请求伪造密码散列函数的选择Flask框架安全配置。
python -with安全上下文管理
淋巴cell学习py之路
01-03 189
class Myopen(object): def __init__(self, name, mode='r'): self.name = name self.mode = mode def __enter__(self): # 当with语句进入并开始执行时, 执行的内容, 需要返回一个对象, 在执行结束之后用来关闭或者其他操作;; ...
Web应用安全OS命令安全隐患
windseraph2的博客
05-18 434
概要 Web应用开发使用的编程语言大多提供了通过Shell调用OS命令的功能,如果调用方法不当,就可能导致意料之外的OS命令被执行。称为OS命令注入。 典型攻击流程 1.从外部下载专门用来攻击软件。 2.对下载的软件授予执行权限。 3.从内部攻击OS漏洞以取得管理员权限(Local Exploit) 4.攻击者在服务器上为所欲为。 可进行的恶意行为 1.浏览、篡改或删除Web服务器
提高Python代码安全性:__builtin__内置技巧的全面解析(与安全性)
![提高Python代码安全性:__builtin__内置... Python内置函数的安全性概述 在Python编程中,内置函数提供了极大的便利性,允许开发者无需额外模块即可执行常用任务。然而,随着便利性的提升,潜在的安全风险也随之而
python读写大文件 meoryerror_Python读取大文件的“坑“与内存占用检测
weixin_33138675的博客
02-04 324
python读写文件的api都很简单,一不留神就容易踩”坑“。笔者记录一次踩坑历程,并且给了一些总结,希望到大家在使用python的过程之中,能够避免一些可能产生隐患的代码。1.read()与readlines():随手搜索python读写文件的教程,很经常看到read()与readlines()这对函数。所以我们会常常看到如下代码:with open(file_path, 'rb') as f:...
Python库 | opentype-sanitizer-8.0.0.post1.tar.gz
03-07
Pythonopentype-sanitizer详解》 ...通过集成OTS,开发者可以更安心地使用和分发字体资源,避免因字体文件问题引发的安全隐患。在实际开发中,了解并善用OTS,无疑能提升项目的稳定性和安全性。
Python Excel读取安全隐患防范与应对:保障数据安全,远离风险
Python Excel读取安全隐患概述** Python Excel读取操作涉及大量敏感数据,存在潜在的安全隐患。这些隐患可能导致数据泄露、恶意代码攻击和系统破坏等严重后果。常见隐患包括: - **数据泄露:**未经授权访问或...
day13 paramiko、数据库表操作
weixin_30652897的博客
08-04 124
Paramiko paramiko 模块官方网站: http://www.paramiko.org/ paramiko 模块功能概述: Paramiko 是一个python(2.6+,3.3+)的实现SSHv2协议的模块,它提供了客户端和服务器端的功能。虽然利用Python C扩展为低水平加密(加密),Paramiko本身就是一个纯Python接口在SSH网络概念。 paramiko 模...
python stdout.read()阻塞_python - stdout readline()阻塞 - 堆栈内存溢出
weixin_39768917的博客
12-10 1299
我正在尝试通过Python 2.7运行Minecraft服务器,并且工作正常。 但是,当我尝试将其传递给stop命令时,它直到服务器输出某些内容后才执行任何操作。这是我的代码:import os, sys, subprocess, threading, timeclass Server:def start(self):t = threading.Thread(target=self.run)t....
python使用ssh_使用Python自动执行SSH和SCP任务
weixin_39947522的博客
12-05 476
我最近帮助了一个朋友在100多个设备上刷新软件。对于每个设备,他都知道MAC地址,并具有通过ssh登录的相应密码。他将此信息存储在Excel工作表中。他手动闪烁的过程是根据设备的MAC地址找出设备的IP地址。使用IP地址和密码SSH进入设备。通过SCP上载软件安装程序。执行一些Shell命令以安装软件。在一台设备上手动执行此操作就可以了,对于两台设备,您开始考虑wtf,三台设备之后,您就会想到WT...
Linux快速入门之 守护进程 (14)
weixin_49730048的博客
04-01 834
守护进程 文章目录守护进程1.1 进程组1.2 会话1.3 创建守护进程1.4 守护进程的应用 守护进程(精灵进程),为Linux系统中的后台服务进程,其生存周期较长 。通常独立于控制终端并周期性执行某种任务或等待某些事件,一般以d为结尾; 1.1 进程组 多进程的集合就是进程组,该进程组 组长就是进程组中的第一个进程,组长以外的都是普通的成员,每个进程组都有唯一的组ID,进程组的ID和组长的PID是一样的; 进程组中的成员是可以转移的,如果当前进程组的成员被转移到其他组或者该进程组中所有进程都退出了,那么
python内置模块之sys模块,系统操作
最新发布
局外人LZ的博客
03-05 1190
sys 是 Python 标准库中的一个模块,提供了与 Python 解释器及其环境交互的功能。
python 的 sys.stdout.write( 'xxx' ) 与 sys.stdin.readline( ):
qq_36487585的博客
11-25 787
python 的 sys.stdout.write( ‘xxx’ ) 与 sys.stdin.readline(): 1. sys.stdout.write( ‘xxx’ ) 这个语句会输出 括号中的内容和括号中的字符数. In [19]: import sys In [20]: sys.stdout.write("hello") Out[20]: hello5 呃, 明显看出, 输出结果不...
python的sys.stdout重定向
热门推荐
MTbaby的博客
11-14 1万+
本文环境:Python 2.7 使用 print obj 而非 print(obj) 背景 (1)sys.stdout 与 print 当我们在 Python 中打印对象调用 print obj 时候,事实上是调用了 sys.stdout.write(obj+'\n') print 将你需要的内容打印到了控制台,然后追加了一个换行符 print 会调用 sys.stdout 的 wri
Python小知识-sys.stdout.write和print进度条打印
Blessy_Zhu的博客
01-03 2600
打印进度条的方法用两种: 一、sys.stdout.write方式 这个方法中必须使用这句话每次来清理缓存。 sys.stdout.flush() import sys import time i = 0 for i in range(20): time.sleep(1) sys.stdout.write("\r# Process: %0.1f %%" % (float...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值