python的文件读取(CVE-2019-9948)

最新推荐文章于 2024-01-18 14:00:00 发布
最新推荐文章于 2024-01-18 14:00:00 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: WEB安全小记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43536759/article/details/105697815
版权

Python 2.x到2.7.16中的urllib支持local_file:方案,这使远程攻击者更容易绕过将文件URI列入黑名单的保护机制,如触发urllib.urlopen('local_file:///etc / passwd') 可以得到回显。

我看别的大佬读取文件时local_file:///都有三个'/'

在python2中有urllib和urllib2之分,但是这个漏洞只适合urllib.

参考:
https://nvd.nist.gov/vuln/detail/CVE-2019-9948
https://bugs.python.org/issue35907

火 柴 人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python-CVE20165696的概念验证代码
08-12
CVE-2016-5696的概念验证代码
Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析
weixin_34345753的博客
04-10 420
作者:Badcode@知道创宇404实验室时间:2019年4月8日 看到官方发布了预警,于是开始了漏洞应急。漏洞描述中指出Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,***者能利用此漏洞能够实现目录穿越与远程代码执行。 确认漏洞点是Widget Connector,下载最新版的比对补丁,发现在com\a...
SSRF安全指北
Tencent_SRC的博客
01-26 1061
文|腾讯蓝军silence前言SSRF (Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。SSRF是...
CVE-2019-0708——RDP漏洞利用
热门推荐
迷风小白
07-03 6万+
背景介绍 Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多。 影响系统:windows2003、windows2008、windows2008 R2、windows xp 、win7 环境: 攻击机:kali IP:192....
ES 文件浏览器安全漏洞分析(CVE-2019-6447)
晓得哥的博客
02-28 2940
作者:0x7F@知道创宇404实验室 时间:2019.02.27 0x00 前言 ES 文件浏览器(ES File Explorer File Manager application)是一款安卓系统上的文件管理器,它支持在手机上浏览、管理文件。有超过 1 亿次下载量,是目前安卓系统上使用得最广的文件管理器。 2019年1月,由国外安全研究者公开一个关于 ES 文件浏览器的安全漏洞(CVE-2019...
Python2升级到最新的Python2.7.18版本。(漏洞修复)
最新发布
weixin_58949710的博客
01-18 728
旧版的Python2,存在许多的漏洞。都可以通过升级到最新的Python版本解决。
Python中的10个常见安全漏洞及修复方法
gaojian5422的博客
02-28 1487
Python中的10个常见安全漏洞及修复方法
【路径遍历漏洞】查找、利用、预防
08-20 5384
【路径遍历漏洞】确定攻击目标、探查路径遍历漏洞、避开遍历攻击障碍、处理定制编码、利用遍历漏洞
Python安全漏洞及防护总结
m0_49706119的博客
07-26 3782
Python安全漏洞及防护总结
python网络攻击总参三部_注入攻击等Python语言中的十个常见安全漏洞,附修复及避免方法...
weixin_39704971的博客
11-23 562
编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例。然而,许多 Python 开发人员却根本不知道这些。以下是我总结的10个Python常见安全漏洞,排名不分先后。1、输入注入注入攻击影响广泛且很常见,注入有很多种类,它们影响所有的语言、框架和环境。SQL 注入...
CVE-2020-1938 漏洞利用工具(POC)
09-12
通过Python 执行POC可以轻松读取存在漏洞服务器上的文件或编译执行木马文件
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
# CVE-2020-1938 Apache Tomcat 文件包含 影响版本: Tomcat6-9 Exp: ``` python CNVD-2020-10487-Tomcat-Ajp-lfi.py x.x.x.x -p 8009 -f urfile 一. 漏洞概述 2月20日,国家信息安全漏洞共享平台(CNVD)...
CVE-Search-MT:CVE-搜索管理工具-可能对管理有用的工具
05-04
CVE-搜索-管理工具(CVE-Search-MT) 这是CVE-Search的管理工具的列表,可能对您有用或可能不有用。 此列表正在开发中,并将随着时间的推移而增长。 开发这些脚本是为了执行我个人需要的任务,因此它们可能不符合您...
CVE-2021-21402-Jellyfin:jiaocollCVE-2021-21402-果冻
04-09
CVE-2021-21402-Jellyfin-任意文件读取此POC仅用于学习交流,由此产生的一切后果本人不承担
CNVD-2020-10487-Tomcat-ajp-POC:CNVD-2020-10487(CVE-2020-1938),tomcat ajp文件读取长度poc
03-08
CNVD-2020-10487(CVE-2020-1938),tomcat ajp lfi poc注意:poc.py仅在python2.7上运行,不支持python 3+ 用法:pip install -r requirements.txt python poc.py -p 8009 -f“ /WEB-INF/web.xml” 127.0.0.1
sqlmap 盲注速度提升技巧
火柴人的博客
06-07 2243
sqlmap 盲注速度提升技巧
弱口令扫描
火柴人的博客
05-17 1838
https://xz.aliyun.com/t/6172
浅析EL表达式注入漏洞
火柴人的博客
05-17 938
https://xz.aliyun.com/t/7692
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞是 CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制反序列化操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值