学习笔记-Python安全

Python安全

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

代码混淆

编译成二进制

隐藏 Traceback 信息

Python 运行报错时打印的 Trackback 信息也会泄露一些信息,可以使用如下方法隐藏:

import sys
sys.stderr = open("/dev/null", 'w')

pyc

pyc 反编译

pyc 隐写

  • AngelKitty/stegosaurus - Stegosaurus是一个隐写工具,它允许我们在Python字节码文件(pyc或pyo)中嵌入任意的Payloads。由于编码密度低,嵌入Payloads的过程不会改变源代码的运行行为,也不会改变源文件的文件大小。Payload 代码散布在字节码中,所以像 strings 这样的代码工具无法找到实际的 Payload。Python的dis模块返回源文件的字节码,然后我们可以使用Stegosaurus来嵌入Payload。Stegosaurus 仅支持 Python3.6 及其以下版本

沙箱逃逸

flask 安全

Python 代码审计

相关工具

  • PyCQA/bandit - Bandit is a tool designed to find common security issues in Python code.
    pip3 install bandit
bandit -r path/to/your/code

硬编码

通用关键词

命令执行

审计函数

os.system
os.popen
commands.getstatusoutput

点击关注,共同学习!
安全狗的自我修养

github haidragon

https://github.com/haidragon

posted @ 2022-11-01 12:24  syscallwww  阅读(136)  评论(0编辑  收藏  举报