python项目代码审计_Python 安全 -代码审计

最新推荐文章于 2024-05-20 10:41:19 发布
最新推荐文章于 2024-05-20 10:41:19 发布
阅读量311 收藏 2
点赞数
文章标签: python项目代码审计

Python 安全 -代码审计

杀戮 (有事请 at 大号园长)

8093 | 2014-12-02 12:23

这次来讲关于自动化审计方面的。

OpenStack 团队出品过一个Python代码审计工具叫bandit,思路很牛逼,通过AST模块将源代码转换为Python语法树,由用户自定义对语法树的节点进行测试。

这就需要大致讲下编译器是如何解析源代码的,编译器会先将源代码通过词法分析进行分割,就是说什么算一个词 if 是一个词 “hello world” 也是一个词,然后进行语法分析,语法分析会将词法分析后的结果解析成一个语法树。

比如

代码

if (a == 10) {

printf("hoge\n");

} else {

printf("piyo\n");

}

转换成语法树后

2014120212081538694.png

2014120212081538694.png

然后会分析语义,比如数据类型啊,逻辑啊,导入的包存不存在之类的,最后会转换成字节码或者别的什么执行。

后面的过程我们就忽略吧,我们的审计过程就是在这个过程进行的。虽然Bandit是基于AST模块的,不过内部应该做了很完善的源码审计实现,我没怎么看源码就是了。

我写个简单的脚本示范,假设我想自动化提取一个变量在一个文件中经过了的操作。

//类checkVal一旦发现变量A就输出其操作类型

class checkVal(ast.NodeVisitor):

def visit_Name(self,node):

info = re.findall("\..+?obj",str(node.ctx))[0][1:-4]

if str(node.id)=="a":

print info

//读取python代码

pyCode = open("F:\\project\\pyproject\\douban\\main.py","r+").read()

//解析

code = ast.parse(pyCode)

//初步遍历代码块

for node in code.body:

checkVal().visit(node)

这是我的main.py

import urllib2

import json

url = "https://api.douban.com/v2/book/user_tags/baalbbb"

def getMessage():

response = urllib2.urlopen(url)

return response

a = json.loads(getMessage().read())

for i in a["tags"]:

print i["title"]

print i["count"]

输出

2014120212193813062.jpg

2014120212193813062.jpg

通过语法树解析,可以做到非常高效,并且误报率极低的代码审计流程,前提是你有耐心写工具,其实并不是只有python,通过语法树是一种编程语言通用的概念,其他语言有没有AST这种方便的模块我不知道,当然你也可以考虑用 bison和 flex写一个通用的框架出来,明年清明我回去看你。

weixin_39997696
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python入门实战:Python代码审计
禅与计算机程序设计艺术
11-25 293
1.背景介绍 随着互联网、移动应用、物联网、云计算等新兴技术的发展,越来越多的人开始关注与研究应用层面的安全性和健壮性问题。而对于安全敏感的企业级应用软件来说,提升代码质量、减少安全风险,也是当务之急。如何检测并快速定位潜在安全漏洞、优化代码结构,确保应用安全无忧是这个领域的重中之重。 代码审计是目前最有效的检测和定位安全漏洞的方式之一。
Python代码审计》(1)一款超好用的代码扫描工具
午夜安全
12-16 2128
从本文开始,我将开始介绍Python代码审计代码审计是检查源代码中的安全缺陷,检查源代码是否存在安全隐患,或者编码不规范的地方。通常使用自动化工具或者人工审查的方式,自动化工具效率高,但是误报率也高,并且发现的问题不够深入、全面;人工审查的方式可以全面深入的发现源代码中的安全缺陷,缺点是耗时较长。
python项目代码审计_【Python常识】Web代码审计应注意的点,安全与不安全的区别!...
weixin_39728124的博客
11-29 97
原标题:【Python常识】Web代码审计应注意的点,安全与不安全的区别!SQL注入 安全的做法:12stmt = "SELECT * FROM table WHERE id=?"connection.execute(stmt, (value,))不安全的做法:123"SELECT * FROM table WHERE id=" + value"SELECT * FROM table WHERE ...
python项目代码审计_Python代码审计汇总
weixin_39861823的博客
11-29 718
1、任意代码执行任意代码执行需关注的函数,可使用正则搜索:eval\(|exec\(|execfile\(|compile\(需关注的危险库文件及函数有:os.system/popentimeit.timeitplatform.popencommands.getstatusoutputsubprocess.popen/call/check_output__import__("os").system...
python自动化审计及实现
weixin_34217711的博客
03-08 3005
xxlegend · 2015/08/03 17:010x00 摘要Python由于其简单,快速,库丰富的特点在国内使用的越来越广泛,但是一些不好的用法却带来了严重的安全问题,本文从Python源码入手,分析其语法树,跟踪数据流来判断是否存在注入点。关键词: Python 注入 源码 语法树0x01 引言Python注入问题是说用户可以控制输入,导致系统执行一些危险的操作。它是Python中比较常...
python 代码审计项目.zip
03-05
适合学习/练手、毕业设计、课程设计、期末/期中/大作业、工程实训、相关项目/竞赛学习等。 项目具有较高的学习借鉴价值,也可直接拿来修改复现。可以在这些基础上学习借鉴进行修改和扩展,实现其它功能。 可放心...
基于python代码审计工具+源代码+文档说明
12-01
### recode代码审计工具 > 方便在Mac/Linux下使用的一个代码审计工具 > 匹配规则部分来自于seay代码审计工具 > 准备做支持多语言的审计 > 开发版本为python 3.9 > 此版本为demo ### 使用方法: `python3 recode.py ...
第95天:代码审计-SAST&IAST项目&PHP&Java&NET&Python&Js&Go等测评
最新发布
weixin_71529930的博客
05-20 272
checkmark fority对各种语言都有支持,并且漏洞发现是通过跟踪语句发现的但是这里找不到安装包了。执行完成以后会在python目录下的script文件夹中生成exe文件。summary tables可以查看具体漏洞出现的位置。加载规则进数据库(每次修改规则文件都需要加载)初始化数据库,默认采用sqlite作为数据库。扫描出来的结果,红色高危,黄色中危,蓝色低危。对于扫描机制与其他工具不太一样,比较推荐。下载完压缩包以后,执行安装命令。这里该项目需要放在网站目录下。对php,js审计比较适配。
用150行python代码来做代码审计笔记
hl1293348082的专栏
03-28 428
你是否觉得有时候人类的思考模式很像正则匹配? 本文包括以下几个部分: 1、为什么我觉得可以用这个工具(个人认为) 2、我为什么写这个工具 3、工具的实现思路 4、工具的升级思路 5、源代码的 github 地址 6、使用测试 7、最后说两句 为什么我觉得可以用这个工具(个人认为) 通过审计代码,也就是查看源代码,来发现其中存在的隐患,代码审计需要对被审计的语言有充分的了解,不仅是能读懂源代码,还要了解语言本身的缺陷。很多时候代码审计的突破口就在于一些已经广为人知的有问题的代码的写法。
python动态代码审计
08-30
kcon议题《python 动态代码审计》,我已经将上面的所提到的技术广泛的用在我自己的工作之中,为我自己节省了大量的时间和精力。并且通过比较多实践,我把一些繁琐的过程和步骤做了简化,也填了大大小小的坑。与此同时,我找到了公司内部产品中出现的大大小小的漏洞,虽然这些漏洞没办法分享出来,但是我希望大家能从我今天分享的议题中学到一些有用的东西。这个议题里面提到的有些技术也可以用到php,go,ruby等语言里面。后续我也会把这个ppt中内容发到我的博客中,如果大家有什么问题和想法,欢迎在csdn上私信我,或者在我的留言板中留言
Python-Pylava是一个用于Python和JavaScript的代码审计工具
08-11
Pylava是一个用于Python和JavaScript的代码审计工具
代码安全审计工具推荐
热门推荐
煜铭2011
05-07 1万+
0×00 简介企业安全规划建设过程中,往往会涉及到开发的代码安全,而更多可以实现落地的是源代码安全审计中,使用自动化工具代替人工漏洞挖掘,并且可以交付给研发人员直接进行安全自查,同时也更符合SDL的原则,此外可以显著提高审计工作的效率。0×01 代码安全审计概述以下链接为当前比较热门的代码审计推荐文章,门类齐全,点评到位,很值得参考。http://www.freebuf.com/sec...
Python安全编码与代码审计
Fly_鹏程万里
03-16 1429
前言 现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。 XSS 未对输入和输出做过滤,场景: def xss_test(request): ...
Python代码审计实战案例总结之反序列化和命令执行!
爬遍所有网站
04-16 574
介绍 Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成。目前Python代码审计思路,呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行总结,以便于朋友们的学习和参考。 反序列化审计实战 反序列化漏洞在Python代码审计中属于常见高危漏洞之一,它的危害性根据执行环境略有不同,本地和远程分别为7.2和10的评分。通过评分也可得知漏洞...
[De1CTF 2019]SSRF Me 1——python代码审计
m0_62879498的博客
05-09 593
[De1CTF 2019]SSRF Me 1 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__)
静态代码审计的发展
soldi_er的博客
07-26 333
文章目录抽象语法树AST0x01 编译系统的结构0x02 词法分析静态代码审计的发展0x01 关键字匹配0x02 AST代码分析参考 抽象语法树AST 0x01 编译系统的结构   编译系统的结构:以人工英汉翻译举例,理解翻译过程。 In the room, he broke a windows with hammer   第1步:判断单词的词类/词性(词法分析)–> 根据词类识别句子短语,获取句子结构(语法分析)–> 根据句子结构分析短语充当成分,获取名词短语与核心谓语动词的关系(语义分
python项目代码审计_Python 代码审计的另外几个反序列化漏洞检查点
weixin_39626211的博客
11-29 223
哔哔两句最近刚做完某个白盒渗透项目,通读了整个项目代码后发现了几个比较明显的 Python 反序列化漏洞的问题。代码中使用了 Pickle 这个 Python 反序列化模块,除此以外还发现了另外一个比较陌生的模块。from sklearn.externals import joblib因为在这个项目中 pickle 模块加载的都是扩展名为 .pkl 的文件,我认为它是 PicK Le 的缩写,经过...
python项目代码审计_Python代码审计中的那些器I
weixin_39862899的博客
11-29 193
曾今向前辈请教过,如何学习代码审计;曾今向大牛问起过,如何学好代码审计……得到的答案总是出乎的一致:多读,多审,多写;php,python,java;变量,函数,框架;赋值,传递,覆盖;……只要用心,就能学好。其实很多看起来很专的技术,只要把心静下来,用心去学习--总结--沉淀,就一定不会差。1、前言作为【一起玩蛇】系列的文章,突发奇想到python代码审计。纵观目前主流的代码审计,关于审计PHP...
Python代码审计中常见的漏洞(三)
武天旭的博客
05-31 894
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题:
python 代码安全审计
11-17
Python代码安全审计是指对Python编写的程序或代码进行全面的安全性检查和评估的过程。在进行Python代码安全审计时,需要关注以下几个方面: 首先,需要对Python代码中的漏洞进行全面的审计。包括但不限于SQL注入、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值