python 测试app漏洞_Python代码审计实例三则

最新推荐文章于 2024-05-20 10:41:19 发布
最新推荐文章于 2024-05-20 10:41:19 发布
阅读量300 收藏
点赞数
文章标签: python 测试app漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42171208/article/details/112526216
版权

94ce769232d4a39caa5347e0ed132c3e.gif

目录

一、SQL盲注
二、身份认证逻辑
三、条件竞争

突然发现,笔者接触代码审计工作也有一年半的时间了,经历的大大小小的代码审计项目百余项,但是并没有好好的研究过关于python的代码审计内容,或者说python有什么需要审计的呢?fortify拓展插件貌似也支持python审计,至少原版我没成功过。

但,前不久一个小伙伴还是问了我python代码审计的问题,code终究还是code,万变不离其宗,今天笔者借朋友之前写的几个小实例抛砖引玉下,简单涉及下这一冷门领域。

67d598208b1baa5e2318dad5f6a351c2.png

一、SQL盲注

sql注入这个东西吧,稍微有点安全开发的常识就不会出现,我们简单来看下python中的sql注入是什么个样子。
这是一个查询系统的马卡龙配色查询表单:

e3da59a6375ea92b622662a4bddef383.png

<form id="searchForm" method="post">
<fieldset>
<input id="s" type="text" name="username" placeholder="请输入要查询的内容"/>
<input type="submit" value="查询" id="submitButton"/>

<div id="searchInContainer">
<input type="radio" name="searchmode" value="MeekSearch" id="searchSite" checked />
<label for="searchSite" id="siteNameLabel">标准模式label>

<input type="radio" name="searchmode" value="WildSearch" id="searchWeb" />
<label for="searchWeb">狂野模式label>
div>
fieldset>
form>

这是传入后端的post表单。
当我尝试进行黑盒SQL注入测试的时候,前端返回了500的错误,这个时候从事黑盒渗透的小伙伴们会有什么想法?放弃or继续?

3ff1ad1c46ca99683c51d55f4dd2abc0.png

我们来看下后台debug&#

最低0.47元/天 解锁文章
羊欲穷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python写安卓app控制蓝牙_基于python实现蓝牙通信代码实例
weixin_39695241的博客
11-26 1050
这篇文章主要介绍了基于python实现蓝牙通信代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下安装和示例linux下安装sudo apt-get install python-pip libglib2.0-devsudo pip install bluepy官方示例import btleclass MyDelegate(btle.Defau...
python安卓app开发_[实例教程] 用python开发android应用
weixin_39645003的博客
11-20 1929
Python是动态语言,比较简洁。Android不直接支持使用python开发应用,需要使用其它中间件或者库。PythonForAndroid提供了在android平台上对python语言的支持;CLE支持python和java之间的交互,同时提供了一个通用的接口,可用于其它多种语言。Wrapandroid project将android类封装为CLE对象,从而可以使多种语言可以调用android...
第95天:代码审计-SAST&IAST项目&PHP&Java&NET&Python&Js&Go等测评
weixin_71529930的博客
05-20 317
checkmark fority对各种语言都有支持,并且漏洞发现是通过跟踪语句发现的但是这里找不到安装包了。执行完成以后会在python目录下的script文件夹中生成exe文件。summary tables可以查看具体漏洞出现的位置。加载规则进数据库(每次修改规则文件都需要加载)初始化数据库,默认采用sqlite作为数据库。扫描出来的结果,红色高危,黄色中危,蓝色低危。对于扫描机制与其他工具不太一样,比较推荐。下载完压缩包以后,执行安装命令。这里该项目需要放在网站目录下。对php,js审计比较适配。
python- flask current_app详解,与 current_app._get_current_object()的区别以及异步发送邮件实例
Shallow的博客
12-22 3866
核心知识 AppContext手动、自动入栈 LocalStack是线程隔离的栈结构 current_app是线程、协程隔离对象 LocalProxy是获取当前线程隔离的代理对象 一、flask中经典错误 working outside application context 错误: working outside application contex 原因: 在没有获取到应用上下文的情况下,进行了上下文操作。 代码: from flask import Flask, current_app app =
python结构体_Python实现结构体代码实例
weixin_39944944的博客
12-01 2835
Python实现结构体代码实例这篇文章主要介绍了Python实现结构体代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下# python 使用类创建结构体class Myclass(object):class Struct(object):def __init__(self, name, age, job):self.name = names...
python django项目实例_【Django】项目实例
weixin_39815031的博客
11-23 887
Django框架【简介】:Python下有许多款不同的 Web 框架,Django是重量级的web框架中最有代表性的框架之一。下面介绍使用Pycharm图形化界面创建 Django项目 。一、创建Django项目点击file => new project创建新项目。选择Django栏目,输入项目名称,这里采用mysite。选择Python解释器版本,点击create创建。如图:第一步【第二种...
PythonPython代码的单元测试
Python、Golang、大数据
02-14 2500
完整性的手段,是测试效果衡量的标准,是测试技术有效性的度量: 覆盖率 = (至少被执行一次的项目(item)数) / (项目的总数)逻辑检查:给定正确的、符合预期的输入,系统是否能够执行正确的计算并遵循通过代码正确的路径?作用:可以确保程序模块是否否和我们规范的输出,保证该模块经过修改后仍然是满足我们的需求。面向对象的检查:如果通过运行代码更改任何持久对象的状态,则该对象是否正确更新?将我们常规用到的测试场景封装了以下断言方法,根据测试所需要的场景进行引用。在实际的测试中可能同时存在多个前置相同的测试
python脚本控制ios手机app_appium 下 python 脚本自动化测试iOS APP 实例
weixin_34145350的博客
02-04 2101
环境:Mac,Xcode, appium python本文基于appium 环境搭建成功后。如何使用python 编写脚本测试iOS APP1.下载python-client https://github.com/appium/python-client2.在终端 打开到已经下载的文件目录下执行 python setup.py install3. 打开apppium 桌面版。点击 start se...
python控制软件点击_Python小程序 控制鼠标循环点击代码实例
weixin_39808143的博客
12-04 986
Python小程序 控制鼠标循环点击代码实例这篇文章主要介绍了Python小程序 控制鼠标循环点击代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下from ctypes import *import pyautoguiimport timetime.sleep(5)while 1:pyautogui.click(400, 400, clic...
App自动化测试框架appium+python+appnium_python_client及实现
weixin_50372885的博客
10-19 1137
通过自动化脚本实现哔哩哔哩app端搜索肯德基
python代码输入中文怎么定义_python输入中文的实例方法
weixin_39747975的博客
11-28 2552
python输入中文的实例方法解决中文输入的两种应用:在脚本中加语言编码声明 “-*- coding: uft-8 -*-”应用一:print中出现中文方法一:用unicode(' ', encoding = 'utf-8' ) 或者 unicode(" ", encoding = "utf-8" )。方法二:用u' ' 或者 u" "。应用二:函数输入中出现中文,如raw_input()用uni...
Python开发背单词软件APP项目实战_优秀案例实例代码源码.zip
04-01
51斩百词 ( Python+ Sqlite+Kivy+ Virtualenv实现)。 近年来,随着数字移动设备的普及,人们学习的方式也发生了翻天覆地的变化,越来越多的人会在手机上安装各式各样...本章内容将为您详细介绍Python与Kivy开发App的细节。
python_GUI.rar_gui python_python gui_python3 gui
09-24
要开始使用Tkinter,你需要导入Tkinter模块(在Python 3中,它被重命名为tkinter,首字母小写): ```python import tkinter as tk ``` 然后,你可以创建一个主窗口,并添加组件。例如,创建一个简单的"Hello, ...
Python开发背单词软件APP项目实战_编程案例实例详解课程教程.pdf
03-19
Python开发背单词软件APP项目实战_编程案例实例详解课程教程.pdf
利用python爬取斗鱼app中照片方法实例
01-21
前言 没想到python是如此强大,令人着迷,以前看见图片... 观察测试可知,通过修改offset值就是相当于app的翻页  访问这个url,返回得到的是一个大字典,字典里面两个索引,一个error,一个data。而data又是一个长
Python项目开发实战_简单的字典_练手完整编程案例解析实例详解课程教程.pdf
03-29
Python编程语言中,字典是一种非常重要的数据结构,它允许你存储和管理关联的数据,这些数据通过键(key)来引用对应的值(value)。在本章中,我们将深入探讨如何使用字典进行项目开发实战。 6.1 一个简单的字典...
Java面试整理,涵盖基础、JVM、线程并发、框架、MySQL、微服务、Redis、中间件、数据结构与算法等。陆续完善中.zip
07-31
Java面试整理,涵盖基础、JVM、线程并发、框架、MySQL、微服务、Redis、中间件、数据结构与算法等。陆续完善中
chromedriver-mac-x64_121.0.6167.184.zip
最新发布
07-31
chromedriver-mac-x64_121.0.6167.184.zip
【Java面试+Java技术文章汇总】 涵盖大部分Java程序员所需要掌握的核心知识。.zip
07-31
【Java面试+Java技术文章汇总】 涵盖大部分Java程序员所需要掌握的核心知识。
python自动化测试app实例
08-23
一个使用PythonAppium进行UI自动化测试的示例是通过Appium对Android应用进行自动化测试。 在这个示例中,使用了`driver.find_elements_by_android_uiautomator()`方法来定位并操作App中的元素。 该示例的完整代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值