0x00 前言现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。0x01 XSS未对输入和输出做过滤,场景:在代码中一搜,发现有大量地方使用,比较正确的使用方式
转载
2023-08-17 09:32:17
72阅读
6岁时,我有一个音乐盒。我上紧发条,音乐盒顶上的芭蕾舞女演员就会旋转起来,同时,内部装置发出“一闪一闪亮晶晶,满天都是小星星”的叮铃声。那玩意儿肯定俗气透了,但我喜欢那个音乐盒,我想知道它的工作原理是什么。后来我拆开了,才看到它里面一个简单的装置,机身内部镶嵌着一个拇指大小的金属圆筒,当它转动时会拨弄钢制的梳齿,从而发出这些音符。在一个程序员具备的所有特性中,想探究事物运转规律的这种好奇心必不可少
转载
2024-06-07 07:12:51
25阅读
在这篇博文中,我们将分享在实际 Python 项目中遇到的 10 个安全陷阱。我们选择了一些在技术圈中不太为人所知的陷阱。通过介绍每个问题及其造成的影响,我们希望提高人们对这些问题的感知,并提高大家的安全意识。如果你正在使用这些特性,请一定要排查你的 Python 代码!1.被优化掉的断言Python 支持以优化的方式执行代码。这使代码运行得更快,内存用得更少。当程序被大规模使用,或者可用的资源很
转载
2023-08-05 23:44:51
118阅读
文章目录基础语法部分socketif语句for循环函数异常处理线程argparse基本用法获取banner(服务名称和版本)信息编写poc和exp正则表达,网络编程,套接字模块部分模块的概念模块导入python脚本基础结构sys模块文件操作os模块基础阶段脚本百度url收集脚本四大件收集脚本多线程获取banner信息目录扫描工具PUT写入获取服务器版本和脚本类型sql爆错注入pocms15_04
转载
2024-04-22 09:19:23
16阅读
章节一:引言在当今数字化时代,数据安全是一个极其重要的话题。随着Python的广泛应用和越来越多的人使用Python构建应用程序,保护Python应用程序和用户数据的安全变得尤为重要。本文将介绍一些关键的Python安全问题,并提供一些保护Python应用程序和用户数据的实用技巧。章节二:Python安全漏洞的常见类型在保护Python应用程序之前,我们需要了解一些常见的Python安
转载
2023-08-10 14:22:47
80阅读
# Python代码安全检测的必要性与方法
在如今这个数字化快速发展的时代,安全隐患无时无刻不在威胁着我们的系统和数据。尤其是在使用Python等高层次编程语言编写应用时,代码的安全性显得尤为重要。本文将带您深入探讨Python代码安全检测的必要性,常见的安全漏洞以及如何进行有效的检测。我们将通过代码示例和可视化图表来帮助理解。
## 为什么要进行Python代码安全检测?
Python因其
原创
2024-09-13 06:46:03
74阅读
6岁时,我有一个音乐盒。我上紧发条,音乐盒顶上的芭蕾舞女演员就会旋转起来,同时,内部装置发出“一闪一闪亮晶晶,满天都是小星星”的叮铃声。那玩意儿肯定俗气透了,但我喜欢那个音乐盒,我想知道它的工作原理是什么。后来我拆开了,才看到它里面一个简单的装置,机身内部镶嵌着一个拇指大小的金属圆筒,当它转动时会拨弄钢制的梳齿,从而发出这些音符。在一个程序员具备的所有特性中,想探究事物运转规律的这种好奇心必不可少
转载
2023-12-27 11:05:45
27阅读
我们开发的每个系统都离不开配置信息,例如数据库密码、Redis密码、邮件配置、各种第三方配置信息,这些信息都非常敏感,一旦泄露出去后果非常严重,被泄露的原因一般是程序员将配置信息和代码混在一起导致的。判断一个系统是否正确地将配置排除在代码之外,一个简单的方法是看该系统的代码是否可以立刻开源,而不用担心会暴露任何敏感信息。所以我们做的第一件事情就是将配置信息与代码解耦,根据不同的部署环境(开发环境、
转载
2023-08-30 16:45:05
72阅读
Python中的危险函数 每个语言都有一些使用要特别小心的危险函数,这里例举Python的三个危险函数:eval(), exec() 和input(),不恰当的使用它们可能会引起认证绕过甚至是代码注入。
eval() eval函数接受字符串并将字符串当作代码执行,比如
eval('1+1') 会返回2,所以eval函数可以用来在系统上执行任意代码。
我们来看个例子:
转载
2023-08-05 23:45:16
396阅读
python代码安全扫描工具:Coverity、 Fortify、SecMissile(漏扫,对源代码提供基于语义的搜索和分析能力,实现已知安全漏洞的快速扫描)
原创
2023-05-31 10:21:28
150阅读
周六,正和家人在外边玩得起劲,突然接收到微信报警,某某系统供数出错……此时,内心是崩溃的,有一万个草泥马在翻腾,我能瞬间说出这系统的 100 个缺陷。然而,也有另外一个声音在耳边提醒着:报怨是最没用的,可怜之人必有可恨之处,老板在乎不是你的苦劳,而是你的功劳。算了,回家打开电脑,解决报错。以上的场景做过运维的朋友想必比较熟悉,没做过运维的人相信也有类似的经历,总之就是那些让你不爽的事,如果这些不爽
1 前言现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。2 XSS未对输入和输出做过滤,场景:def xss_test(request):name = req
原创
2015-07-30 15:05:00
881阅读
# 安全多方计算(SMPC)简介及Python实现
随着数据隐私的重要性日益增强,多方计算(Secure Multi-Party Computation, SMPC)作为一种保护用户隐私的方法受到了广泛关注。SMPC允许多个参与方共同计算某个函数的结果,而不泄露各自的输入。这对于诸如金融分析、医疗数据处理等领域非常重要。
## SMPC的基本原理
在SMPC中,每个参与方拥有自己的私有输入,
在现代软件开发中,密码安全是一项至关重要的任务。在这篇博文中,我们将深入探讨如何使用 Python 进行密码安全分析,涵盖版本对比、迁移指南、兼容性处理、实战案例、性能优化和生态扩展等方面。
我们首先来看一下在不同版本的 Python 中密码安全分析库的兼容性分析。通过以下的四象限图,我们可以清晰地看到每个库在适用场景下的匹配度。
```mermaid
quadrantChart
ti
暂时发现Python的优点: 简单易学易上手(作为优秀脚本语言应有的特质) 面向对象的支持 快速开发与调试 丰富且功能强大的各种功能库的支持但是,作为脚本语言,基本上只要是能拿到pyc和pyo文件,便是等于拿到了源码,用uncompyle2反编译之后,缺少的只有一些注释。当然P
转载
2023-07-10 17:26:15
75阅读
危险的函数调用eval,任何时候都不要使用eval,这个函数会到时代码上下文出现不可预期的变化,并且在eval的内容不确定时可能会导致黑客直接通过植入代码控制进程甚至是服务器。如非得使用该函数,推荐使用 ast.literal_eval 来进行操作。exec,execfile, 该statement用于在python中执行了一段代码并控制上下文,并可能导致产生与eval相同的问题。pickle.*
转载
2023-07-08 10:42:53
159阅读
源代码安全测试工具当然是有用的,存在即合理嘛。再说,还是有那么多的大企业,银行,检测机构都在使用源代码安全检测工具来检测代码安全,所以有用是肯定的。 当然,很多技术人员都在说源代码安全检测工具的误报率很高,在我看来也不能直接说一定是很高的,这个关键是看用的好坏和会不会用。一方面任何一个测试工具都会有一定的误报,源代码安全检测所检测出来的都是可能的漏洞,一般开发人员对于漏洞的理解,或者说潜在的、可能
转载
2024-01-30 12:36:38
53阅读
现在软件、Web应用、App等程序都已经成为了企业的命脉。数据的安全一直都是企业最关心的问题。今天给大家推荐的就是腾讯针对开发人员梳理的代码安全指南,全面的提出API层面的风险点并提出建议和解决方案。安全指南使用场景
安全指南涵盖非常全面,可以用于1、日常编程参考2、系统扫描策略3、安全组件开发4、安全漏洞的修复指南安全指南分为以下级别
1、必须2、建议3、推荐安全指南列表清单
1、C/C++安全
转载
2023-07-27 17:43:41
23阅读
1. 引言PSI为当前secure-party computing (MPC) 安全多方计算的一个应用热点。 随着人们越来越关注用户数据的隐私保护,需在保护隐私的前提下,充分利用用户信息。Private Set Intersection(PSI)私有集合交集: 是一种安全的多方计算加密技术,它允许持有集合的两方比较这些集合的加密版本以计算交集。在这种情况下,除了交叉点中的元素之外,双方都没有向对方
转载
2024-01-05 22:37:22
330阅读
代码安全审计实践代码安全审计的内容常见漏洞库代码安全审计的工具源代码安全分析第三方依赖包安全分析代码安全审计的落地参考文档 2020年安全相关的事务变多了,也因此更注重安全合规相关的工作了。其中代码安全审计是安全开发生命周期(SDL)中重要的内容,这一年中也正好负责这块的相关工作,这边做个小结。代码安全审计的内容通常关于代码的安全问题有两类:源码安全分析:通过对源代码进行审查,找出并修复代码中的
转载
2024-05-21 16:04:22
15阅读
