Python新型字符串格式漏洞分析

Python新型字符串格式漏洞分析

3周前 (01-03) 浏览: 11 评论: 0

前言 本文对Python引入的一种格式化字符串的新型语法的安全漏洞进行了深入的分析,并提供了相应的安全解决方案。 当我们对不可信的用户输入使用str.format的时候,将会带来安全隐患——对于这个问题,其实我早就知道了,但是直到今天我才真正意识到它的严重性。因为攻击者可以利用它来绕过Jinja2沙盒,这会造成严重的信息泄露问题。同时,我在本文最后部分为str.format提供了一个新的安全版本。

Python制作统计图形

Python制作统计图形

1个月前 (12-21) 浏览: 36 评论: 0

摘要: Python一般使用Matplotlib制作统计图形,用它自己的说法是‘让简单的事情简单,让复杂的事情变得可能’。(你说国外的“码农”咋这么会说,我就整不出来这工整的句子!)用它可以制作折线图,直方图,条形图,散点图,饼图,谱图等等你能想到的和想不到的统计图形,这些图形可以导出为多种具有出版质量的. Python一般使用Matplotlib制作统计图形,用它自己的说法是‘让简单的事情简单,

Python股市数据分析教程——学会它,或可以实现半“智能”炒股 (Part 1)

Python股市数据分析教程——学会它,或可以实现半“智能”炒股 (Part 1)

1个月前 (12-21) 浏览: 57 评论: 0

摘要: 本篇文章是"Python股市数据分析"两部曲中的第一部分,主要介绍金融数据分析的背景以及移动均线等方面的内容。 本篇文章是"Python股市数据分析"两部曲中的第一部分(第二部分的文章在这里),内容基于我在犹他州立大学MATH 3900 (Data Mining)课程上的一次讲座。在这些文章中,我将介绍一些关于金融数据分析的基础知识,例如,使用pandas获取雅虎财经上的数据,股票数据可视

python菜单

python菜单

2个月前 (12-09) 浏览: 27 评论: 0

1.基本概述 三级菜单程序是由两个文件组成,由主程序和数据存储文件组成,都是基于python语言写的。 2.技巧运用 其中运用了字典、元组的读取与格式转换,for循环,if循环还有while循环,其中有利用continue跳出循环的小技巧制作了返回功能,还有自定义模块的导入与导出功能。 3.程序运行概述 当用户运行主程序文件时,主程序文件会读取zone.py模块,然后主程序进行格式转换打印出一级菜

python 三级菜单

python 三级菜单

2个月前 (12-06) 浏览: 23 评论: 0

1.基本概述 三级菜单程序是由两个文件组成,由主程序和数据存储文件组成,都是基于python语言写的。 2.技巧运用 其中运用了字典、元组的读取与格式转换,for循环,if循环还有while循环,其中有利用continue跳出循环的小技巧制作了返回功能,还有自定义模块的导入与导出功能。 3.程序运行概述 当用户运行主程序文件时,主程序文件会读取zone.py模块,然后主程序进行格式转换打印出一级菜

centos下python2.6升级到python3.5

centos下python2.6升级到python3.5

2个月前 (11-19) 浏览: 43 评论: 0

[[email protected] ~]# yum install gcc gcc-c++ zlib-devel -y 1、下载python3.5软件包 [[email protected] src]# wget https://www.python.org/ftp/python/3.5.0/Python-3.5.0.tgz [[email protected] src]# tar zxvf Python-3.5.0.

Linux下python升级至2.7步骤

Linux下python升级至2.7步骤

3个月前 (10-27) 浏览: 56 评论: 0

1、首先下载tar包 [[email protected] ~]# wget http://www.python.org/ftp/python/2.7.3/Python-2.7.3.tgz 2、下载完成后,到下载目录下,解压。 [[email protected] ~]# tar -zxvf Python-2.7.3.tgz 3、进入解压缩后的文件夹 [[email protected] ~]# cd Python-2.

BurpSuite插件开发指南之 Python 篇

BurpSuite插件开发指南之 Python 篇

3个月前 (10-24) 浏览: 73 评论: 0

注:此系列文章是笔者利用业余时间所写,如有错误,望读者们及时指正,另外此系列文章属于入门级别的科普文,目的是普及Burp插件的编写技术。 0x00 Jython 简介 BurpSuite 是使用 Java 编程语言编写的,所以想要使用 Python 编程语言开发其插件,就必须借助于 Jython。Jython 本质上是一个 Java 应用程序,它允许 coder 们使用 Java 代码调用 Pyt

BurpSuite插件开发指南之 API 上篇

BurpSuite插件开发指南之 API 上篇

3个月前 (10-24) 浏览: 21 评论: 0

原文地址:http://drops.wooyun.org/tools/14040 0x00 前言 BurpSuite 作为一款 Web 安全测试的利器,得益于其强大的代理,操控数据的功能,在 Web 安全测试过程中,为我们省下了不少时间和精力专注于漏洞的挖掘和测试。更重要的是 BurpSuite 提供了插件开发接口,Web 安全测试人员可以根据实际需求自己开发出提高安全测试效率的插件,虽然 BAp

BurpSuite插件开发指南之 API 下篇

BurpSuite插件开发指南之 API 下篇

3个月前 (10-24) 浏览: 20 评论: 0

注:此系列文章是笔者利用业余时间所写,如有错误,望读者们及时指正,另外此系列文章属于入门级别的科普文,目的是普及Burp插件的编写技术。 0x00 Jython 简介 BurpSuite 是使用 Java 编程语言编写的,所以想要使用 Python 编程语言开发其插件,就必须借助于 Jython。Jython 本质上是一个 Java 应用程序,它允许 coder 们使用 Java 代码调用 Pyt

Python中的函数:def

Python中的函数:def

3个月前 (10-20) 浏览: 21 评论: 0

接触过C语言的朋友对函数这个词肯定非常熟悉,无论在哪门编程语言当中,函数(当然在某些语言里称作方法,意义是相同的)都扮演着至关重要的角色。今天就来了解一下Python中的函数用法。 一.函数的定义 在某些编程语言当中,函数声明和函数定义是区分开的(在这些编程语言当中函数声明和函数定义可以出现在不同的文件中,比如C语言),但是在Python中,函数声明和函数定义是视为一体的。在Python中,函数定

Python if…elif…else语句

Python if…elif…else语句

3个月前 (10-18) 浏览: 46 评论: 0

一个else语句可以使用if语句结合起来。如果在if语句中的条件表达式解析为0或false值,那么else语句包含代码执行。 else语句是可选的声明,并if语句下面最多只有一个else语句。 语法 if ... else语句的语法是: [crayon-588584b4a5b23697279413/] 流程图 例子: [crayon-588584b4a5b2e368397633/] 当执行上面的代

python脚本处理伪静态注入

python脚本处理伪静态注入

3个月前 (10-17) 浏览: 34 评论: 0

目前有很多网站做了rewrite. [crayon-588584b4a6263150520163/] 通常情况下,动态脚本的网站的url类似下面这样 http://www.xxoo.net/aa.php?id=123 做了伪静态之后类似这样 http://www.xxoo.net/aa.php/id/123.html 总归大趋势下,攻击的门槛逐渐增高。这样有利有弊,喜欢研究的会深入钻研,另一方面只

Python编写简易木马程序

Python编写简易木马程序

4个月前 (10-09) 浏览: 62 评论: 0

0x00 准备 文章内容仅供学习研究、切勿用于非法用途! 这次我们使用Python编写一个具有键盘记录、截屏以及通信功能的简易木马。依然选用Sublime text2 +JEDI(python自动补全插件)来撸代码,安装配置JEDI插件可以参照这里: http://drops.wooyun.org/tips/4413 首先准备好我们需要的依赖库,python hook和pythoncom。 下载安

Python教程WEB安全篇

Python教程WEB安全篇

4个月前 (10-09) 浏览: 64 评论: 0

0x00 概述 本文从实例代码出发,讲解了Python在WEB安全分析中的作用,以最基础的示例向读者展示了Python如何解析、获取、以及处理各种类型的WEB页面 系统环境:kali + beautifulsoup + mechanize,由于不涉及底层驱动设计,文中的示例代码可以在任意平台使用,当然无论什么平台都要安装好所用的插件。 0x01 利用python获取WEB页面 [crayon-58

Python教程网络安全篇

Python教程网络安全篇

4个月前 (10-09) 浏览: 35 评论: 0

0x00:概述 本文从实例代码出发,讲解了Python在网络安全分析中的作用,以最基础的示例向读者展示了Python如何解析、发送、以及嗅探网络中的数据包 系统环境:kali 并且具备了scapy,由于涉及底层网络操作,文中的示例代码均为linux下可用,无法直接复制到windows下使用 0x01:利用Python解析TCP数据包 以下面代码为例进行说明 首先导入socket(用于网络编程)、s

burpsuite扩展开发之Python

burpsuite扩展开发之Python

4个月前 (10-09) 浏览: 39 评论: 0

0x00 简介 Burpsuite作为web测试的神器,已经人手必备了。它提供的一系列互相配合的工具,极大的提高了手工测试的效率,从1.5版本开始,Burpsuite开始支持扩展。用户可以自己开发扩展实现一些特殊的需求。不过目前关于Burpsuite扩展开发的中文资料很少。这里抛砖引玉总结一下学习的过程。 0x01 基础知识 目前burpsuite官方支持用java,python,ruby开发扩展

Python编写shellcode注入程序

Python编写shellcode注入程序

4个月前 (10-09) 浏览: 59 评论: 0

0x00 背景 本文为《小学生科普系列》的番外篇,本系列面向小学生,纯科普,大牛莫喷~ 教程中所有内容仅供学习研究,请勿用于非法用途,否则....我也帮不了你啊... 说起注入,大家第一印象可能还习惯性的停留在sql注入,脚本注入(XSS)等。今天light同(jiao)学(shou)带大家从web端回到操作系统,一起探讨Windows下的经典注入——内存注入,使用python编写一个简单的代码注

Python urllib HTTP头注入漏洞

Python urllib HTTP头注入漏洞

4个月前 (10-09) 浏览: 26 评论: 0

0x00 总览 Python的urllib库(在Python2中为urllib2,在Python3中为urllib)有一个HTTP协议下的协议流注入漏洞。如果攻击者可以控制Python代码访问任意URL或者让Python代码访问一个恶意的web servr,那这个漏洞可能会危害内网服务安全。 0x01 问题在哪 HTTP协议解析host的时候可以接受百分号编码的值,解码,然后包含在HTTP数据流里

如何运用Python建立你的第一个Slack聊天机器人?

如何运用Python建立你的第一个Slack聊天机器人?

4个月前 (10-09) 浏览: 53 评论: 0

聊天机器人(Bot) 是一种像 Slack 一样的实用的互动聊天服务方式。如果你之前从来没有建立过聊天机器人,那么这篇文章提供了一个简单的入门指南,告诉你如何用 Python 结合 Slack API 建立你第一个聊天机器人。 我们通过搭建你的开发环境, 获得一个 Slack API 的聊天机器人令牌,并用 Pyhon 开发一个简单聊天机器人。 我们所需的工具 我们的聊天机器人我们将它称作为“St

一起写一个 Web 服务器

一起写一个 Web 服务器

4个月前 (10-02) 浏览: 44 评论: 0

翻译于一起写一个 Web 服务器 还记的么,在第一部分Part 1我问过一个问题,“怎样在你的刚完成的WEB服务器下运行 Django 应用、Flask 应用和 Pyramid 应用?在不单独修改服务器来适应这些不同的 WEB 框架的情况下。” 继续读,下面将会给出答案。在过去,你选择一个python web 框架将会限制web服务器的使用,反之亦然。 如果web框架和服务器被设计的一起工作,那么

python 安全编码&代码审计

python 安全编码&代码审计

4个月前 (09-29) 浏览: 38 评论: 0

0x00 前言 现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。 0x01 XSS 未对输入和输出做过滤,场景: [crayon-588584b4ac33e8

Python中eval带来的潜在风险

Python中eval带来的潜在风险

4个月前 (09-27) 浏览: 18 评论: 0

0x00 前言 eval是Python用于执行python表达式的一个内置函数,使用eval,可以很方便的将字符串动态执行。比如下列代码: [crayon-588584b4acf48921554795/] 当内存中的内置模块含有os的话,eval同样可以做到命令执行: [crayon-588584b4acf53456801483/] 当然,eval只能执行Python的表达式类型的代码,不能直接用

Python安全编码指南

Python安全编码指南

4个月前 (09-23) 浏览: 24 评论: 0

0x00 前言 这个pdf中深入Python的核心库进行分析,并且探讨了在两年的安全代码审查过程中,一些被认为是最关键的问题,最后也提出了一些解决方案和缓解的方法。我自己也在验证探究过程中添油加醋了一点,如有错误还请指出哈。 下面一张图表示他们的方法论: 探究的场景为: 输入的数据是"未知"的类型和大小 使用RFC规范构建Libraries 数据在没有经过适当的验证就被处理了 逻辑被更改为是独立于

numpy:python数据领域的功臣

numpy:python数据领域的功臣

4个月前 (09-20) 浏览: 26 评论: 0

前言 numpy对python的意义非凡,在数据分析与机器学习领域为python立下了汗马功劳。现在用python搞数据分析或机器学习经常使用的pandas、matplotlib、sklearn等库,都需要基于numpy构建。毫不夸张地说,没有numpy,python今天在数据分析与机器学习领域只能是捉襟见肘。 什么是一门好的数据分析语言 数据分析面向的数据大多数是二维表。一门好的数据分析语言,首

使用python备份VPS上的网站文件及数据库

使用python备份VPS上的网站文件及数据库

5个月前 (09-02) 浏览: 95 评论: 0

可以将Linux vps上的网站目录及数据库全部导出一份到远程ftp服务器上,再配置crontab实现每天的自动备份。加入了N多自动判断,不会导致程序轻易出错。代码仅适于python2,不适用于python3。因为调用了压缩模块,还需要yum install zlib zlib-devel [crayon-588584b4b0bb1041488849/]

用Python构建图片处理搜索引擎

用Python构建图片处理搜索引擎

5个月前 (08-22) 浏览: 50 评论: 0

顶级公司和反向图片搜索 有很多顶级的科技公司把RIQ用得很好。例如,Pinterest 2014年第一次实现视觉搜索。随后2015年它发布了一个白皮书,揭示了视觉搜索的结构。反向图片搜索使得Pinterest能够从时尚的东西中提取视觉元素,然后给消费者推荐类似的产品。 众所周知,Google图片使用反向图片搜索技术,它允许用户上传一张图片然后搜索相关的图片。上传的图片通过算法分析,制作出一个数学模

Python的四个挑战者:Swift、Go、Julia、R

Python的四个挑战者:Swift、Go、Julia、R

5个月前 (08-22) 浏览: 53 评论: 0

Python时下正在“最热门的编程语言榜”上春风得意,看起来将会成为一门不朽的语言。但是现在,很多其他语言也逐渐显现出Python的一些优点:编程方便,对数学和科学计算拥有强大的处理能力,庞大的第三方库。 没什么是永恒的——包括编程语言。很多看起来可能是将来的佼佼者,到头来可能被人们遗忘。无论是因为不可抗拒的原因,还是因为自身发展的原因。 Python时下正在“最热门的编程语言榜”上春风得意,看起

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享