今日惊闻Python出现了CVE,问题出在Lib/webbrowser.py模块,看描述还十分严重。Python容易产生远程命令执行漏洞。攻击者可以利用此问题,在运行受影响应用程序的用户上下文中执行任意命令。失败的尝试可能导致拒绝服务条件。根据CVE的描述,问题出在环境变量上。Lib/webbrowser.py in Python through 3.6.3 does not validate s
转载
2024-01-03 12:41:04
35阅读
python框架及漏洞python框架Django框架介绍:Django也是一个MVC框架。但是在Django中,控制器接受用户输入的部分由框架自行处理,所以 Django 里更关注的是模型(Model)、模板(Template)和视图(Views)。漏洞: 1. Django任意代码执行 &
转载
2023-07-24 09:58:03
36阅读
httpoxy漏洞是一个刚暴露出来的漏洞,它针对 PHP、Go、Python 等语言的 CGI 应用的漏洞。它将apache等组件中用于代理HTTP访问的字段名变换为“HTTP_PROXY”,再传递给对应的CGI来执行。如果CGI或者脚本中对外请求的组件依赖于“HTTP_PROXY”这个环境变量,那就中招了,会导致远程攻击。HTTP_Proxy是什么www对于每一个上网的人都再熟悉不过了,www连
转载
2023-12-06 21:01:10
18阅读
这是一个针对 PHP、Go、Python 等语言的 CGI 应用的漏洞。httpoxy 是一系列影响到以 CGI 或类 CGI 方式运行的应用的漏洞名称。简单的来说,它就是一个名字空间的冲突问题。RFC 3875 (CGI)中定义了从 HTTP 请求的 Proxy 头部直接填充到环境变量 HTTP_PROXY 的方式HTTP_PROXY 是一个常用
转载
2023-11-03 22:18:40
6阅读
最近在一个 Python Web 项目中处理了 3 个安全漏洞。 在修复完毕之后,来给大家简单地总结分享一下,以提高大家在程序编写和项目开发中的安全意识。1.YAML文件解析漏洞在项目中,我们使用了 Python 的 yaml 模块来解析用户上传文件中的.yaml文件,在之前的代码中我们使用了如下的代码对.yaml文件进行读取和解析:import yaml
yaml.load(yaml_file)
转载
2023-11-21 16:18:19
10阅读
前言午休的时候在安全加看到一篇漏洞预警:CVE-2017-17522 Python webbrowser.py 命令执行漏洞分析,Python的webbrowser内置模块存在远程代码执行漏洞。本来对Python相关的安全问题比较感兴趣,看了下漏洞文件https://github.com/python/cpython/blob/master/Lib/webbrowser.py,上下也就600来行代
转载
2023-11-04 15:57:57
0阅读
跨站脚本攻击漏洞描述:目标存在跨站脚本攻击。1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的
转载
精选
2014-05-04 14:37:32
889阅读
【Web渗透测试】—Web漏洞漏洞利用情景CTF,SRC,红蓝对抗取漏洞重点内容CTF:文件上传、S
原创
2022-07-04 09:07:23
1077阅读
点赞
漏洞描述 CSRF是跨站请求伪造,不攻击网站服务器,而是冒充用户在站内的正常操作。通常由于服务端没有对请求头做严格过滤引起的。CSRF会造成密码重置,用户伪造等问题,可能引发严重后果。绝大多数网站是通过 cookie 等方式辨识用户身份,再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XS ...
转载
2021-09-14 17:27:00
252阅读
2评论
XML基础 XML由三个部分构成,分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式语言;以及可扩展链接语言(Extensible Link Langua ...
转载
2021-09-15 18:23:00
324阅读
2评论
XML基础 XML由三个部分构成,分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式语言;以及可扩展链接语言(Extensible Link Langua ...
转载
2021-09-15 18:23:00
530阅读
2评论
现在有许多消息令我们感到Web的危险性,因此,当前如何构建一个安全的Web环境成为网管员和安全管理员们义不容辞的责任。但是巧妇难为无米之炊,该选择哪些安全工具呢?扫描程序可以在帮助造我们造就安全的Web站点上助一臂之力,也就是说在黑客“黑”你之前,先测试一下自己系统中的漏洞。我们在此推荐,供您参考。
1. Nikto
这是一个开源的Web服务器扫描程序,它可以对Web服
转载
精选
2012-03-27 14:11:34
611阅读
目录:
1.sql注入获取数据库信息2.sql注入绕过管理后台登录3.反射型xss4.存储型xss5.csrf6.文件上传7.暴力破解8.目录遍历9.权限跨越10.文件包含11.未知漏洞
web漏洞演练平台:https://pentesterlab.com/web_for_pentester.html
web漏洞演练平台使用手册及答案详解:https://pentesterlab.com/web_
转载
2014-03-19 21:02:00
138阅读
2评论
本文是对Web中最常见漏洞的一个小结:注入类漏洞:SQL注入:SQL注入漏洞详解 XML注入:XXE(XML外部实体注入)
原创
2022-08-11 09:52:26
129阅读
SkipFish skipfish语法格式,其他参数使用skipfish -h查看文档 -C 指定Cookie 最终会在~/root下面生成指定的文件夹,访问其中的index.html即可
原创
2021-06-04 20:29:48
438阅读
web漏洞-XSS
原创
2019-05-09 23:59:10
791阅读
漏洞描述 SSRF(Server-Side Request Forgery,服务器端请求伪造):通俗的来说就是我们可以伪造服务器端发起的请求,从而获取客户端所不能得到的数据。SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数,并且未对客户端所传输过来的URL参数进行过 ...
转载
2021-09-15 09:23:00
2994阅读
2评论
在Kubernetes(K8S)中,web service 漏洞是指存在于服务部署中的安全漏洞,可能会导致恶意攻击者利用这些漏洞来获取敏感信息或者干扰服务正常运行。作为一名经验丰富的开发者,我们需要重视服务的安全性,并及时修复可能存在的漏洞。
实现 web service 漏洞的过程主要包括以下步骤:
| 步骤 | 描述 |
| --------
原创
2024-04-26 10:55:03
128阅读
漏洞介绍所谓SQL注入(SQLInjection),就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终
前言阿里云安全公告:2019年7月31日,阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)。同事说怎么jackson这类的json序列化库经常报漏洞,而且基本都是高危漏洞,这些漏洞到底怎么来的,jackson的开发程序员就这么不靠谱么?改不完的BUG?这篇文章就让我们走进jackson的世界,感受它的
转载
2024-05-31 00:29:43
31阅读
