阅读本文大概需要8分钟。前几天Django发布了 3.1版本的更新,作为一个半吊子Django开发者,个人觉得这次是真的值得说一说了。3.1的更新最重要的是下面两个改动:支持异步views和middl...
干货|python安全和代码审计相关资料整理
代码注入、命令执行1.内置危险函数execexecfileeval2.标准库危险模块ossubprocesscommands3.危险第三方库Template(user_input) : 模板注入(SS...
Django框架的那些CVE
0x01 django基础1.django简介Django 是一个由 Python 编写的一个开放源代码的 Web 应用框架。使用 Django,只要很少的代码,Python 的程序开发人员就可以轻松...
基于OSQuery安全资产信息监控实践
0×01 需求背景在生产环境中有重要的安全设备和关键服务设备,这些设备都在关键的结位置,依赖影响了很多服务。一旦设备出现问题对生产环境的影响是显而易见的。所以平时对这些设备和监控是很重要。...
Code-Breaking中的两个Python沙箱
这是一篇Code-Breaking 2018鸽了半年的Writeup,讲一讲Django模板引擎沙箱和反序列化时的沙箱,和如何手搓Python picklecode绕过反序列化沙箱。 源码与环境在这里...
JumpServer 远程命令执行-2021
简介JumpServer 是全球首款完全开源的堡垒机, 使用GNU GPL v2.0 开源协议, 是符合4A 的专业运维审计系统。JumpServer 使用Python / Django 进行开发。 ...
【漏洞分析】CVE-2021-35042 Django SQL注入
网安教育培养网络安全人才技术交流、学习咨询该漏洞是由于对QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SQL注入攻击,最终造成服务...
Django SQL注入漏洞(CVE-2021-35042)
原创文章web安全漏洞复现原创声明:转载本文请标注出处和作者!一、漏洞详情Django是Python Web中最流行的几个框架之一。Django中QuerySet数据合集的order_by函数存在SQ...
python安全之学习笔记(一)
暑假想深入学习下pythonweb的,结果被一堆事缠着,只能勉勉强强看了下ssti模板注入的一些东西。真的是菜的糟心,暑假又是一事无成。 0X00.浅谈关于python引发的安全问题 pythonwe...
CVE-2021-35042 Django SQL注入
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射...
【漏洞分析】Django漏洞分析
Python建站?Django你要知道的事情……一、关于Django的简单介绍 Django是一个开放源代码的Web应用框架,由Python写成。采用了MVT的软件设计模式,即模型Model,视图Vi...
Django 编写 Web 漏洞扫描器挖坑记录
相关技术 Python 3.8.0 Python 3.8 支持许多高级特性,在 Web 漏扫这一块 Python 编写也十分灵活。 Django 3 使用了最新的 Django 版本,Django 是...
9