python代码审计-osroom

最新推荐文章于 2025-10-21 13:40:41 发布
原创 最新推荐文章于 2025-10-21 13:40:41 发布 · 447 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#代码规范 #python

本文详细介绍了osroom内容管理系统中发现的多种安全问题,包括远程代码执行(RCE)、文件覆盖、上传文件覆盖、路径跳转和任意文件读取等。作者通过分析代码示例,揭示了这些问题的成因和潜在风险,特别是涉及eval的使用、文件保存过程中的路径控制不严以及前端重定向中的参数安全。这些问题在特定环境下可能导致严重的安全后果。

原文来自SecIN社区—作者:misakikata

osroom

这个cms很有意思,从漏洞和程序的写法上,很适合用来入门学习,漏洞的一些形式相比来说,也比较多一点。

RCE

apps\utils\format\obj_format.py

如下,文件中采用了eval来转换字符串对象,当json.loads转换失败的时候,则直接使用eval来转换。

def json_to_pyseq(tjson):
    """
    json to python sequencer
    :param json:
    :return:
    """
    if tjson in [None, "None"]:
        return None
    elif not isinstance(tjson, (list, dict, tuple)) and tjson != "":
        if isinstance(tjson, (str, bytes)) and tjson[0] not in ["{", "[", "("]:
            return tjson
        elif isinstance(tjson, (int, float)):
            return tjson
        try:
            tjson = json.loads(tjson)
        except BaseException:
            tjson = eval(tjson)
        else:
            if isinstance(tjson, str):
                tjson = eval(tjson)
    return tjson

转到一个使用此方法的功能,例如apps\modules\audit\process\rules.py

删除规则处,传入一个ids参数,原参数值是一个hash值,但是可以修改为python代码。

def audit_rule_delete():
    ids = json_to_pyseq(request.argget.all('ids', []))
    if not isinstance(ids, list):
        ids = json.loads(ids)
    for i, tid in enumerate(ids):
        ids[i] = ObjectId(tid)
    r = mdbs["sys"].db.audit_rules.delete_many({"_id": {"$in": ids}})
    if r.deleted_count > 0:
        data = {"msg": gettext("Delete the success,{}").format(
            r.deleted_count), "msg_type": "s", "custom_status": 204}
    else:
        data = {
            "msg": gettext("Delete failed"),
            "msg_type": "w",
            "custom_status": 400}
    return data
最低0.47元/天 解锁文章
Python入门实战:Python代码审计
AI天才研究院
11-25 650
1.背景介绍 随着互联网、移动应用、物联网、云计算等新兴技术的发展,越来越多的人开始关注与研究应用层面的安全性和健壮性问题。而对于安全敏感的企业级应用软件来说,提升代码质量、减少安全风险,也是当务之急。如何检测并快速定位潜在安全漏洞、优化代码结构,确保应用安全无忧是这个领域的重中之重。 代码审计是目前最有效的检测和定位安全漏洞的方式之一。
Sonarapi pythonpython-sonarqube-api简介
小生测试的博客
07-31 2621
背景 每次我们需要使用sonar api接口时,都需要自己去查一下接口的参数,这就显得很低效,如果有现成的库,那就简省了我们好多的时间。无意中发现,python库中已经有人做成了包: python-sonarqube-api 如果需要单独的Sonar api 使用指南,可以直接查看之前写的sonar api文档 简介 python-sonarqube-api库包含了集成了sonar多个版本的接口调用,包括社区/企业版本等,功能还是比较强大的,而且文档还算比较详细 原地址:https://github.com
python项目代码审计_Python代码审计汇总
weixin_39861823的博客
11-29 899
1、任意代码执行任意代码执行需关注的函数,可使用正则搜索:eval\(|exec\(|execfile\(|compile\(需关注的危险库文件及函数有:os.system/popentimeit.timeitplatform.popencommands.getstatusoutputsubprocess.popen/call/check_output__import__("os").system...
python动态代码审计
08-30
kcon议题《python 动态代码审计》,我已经将上面的所提到的技术广泛的用在我自己的工作之中,为我自己节省了大量的时间和精力。并且通过比较多实践,我把一些繁琐的过程和步骤做了简化,也填了大大小小的坑。与此同时,我找到了公司内部产品中出现的大大小小的漏洞,虽然这些漏洞没办法分享出来,但是我希望大家能从我今天分享的议题中学到一些有用的东西。这个议题里面提到的有些技术也可以用到php,go,ruby等语言里面。后续我也会把这个ppt中内容发到我的博客中,如果大家有什么问题和想法,欢迎在csdn上私信我,或者在我的留言板中留言
Python安全审计利器盘点(2024最新版):8款工具助你守住代码防线
最新发布
BytePulse的博客
10-21 739
掌握Python安全审计工具是防范代码风险的关键。本文盘点2024年8款高效Python安全审计工具,涵盖静态分析、漏洞检测与依赖审查,适用于Web开发、自动化审计等场景,助力开发者快速识别安全隐患,提升代码安全性,值得收藏。
代码审计python代码审计汇总(持续更新中)
黑战士的博客
07-14 1822
的。
精选资源
使用Python复现Black-Litterman模型
10-08
python 使用Python复现Black-Litterman模型。Black-Litterman模型创造性地采用贝叶斯方法将投资者对预期收益的主观看法与资产的市场均衡收益相结合,有效地解决了Markowitz均值-方差模型中投资者难以准确估计各个...
精选资源
利用python构建Fama-French三因子模型.py
12-17
python构建Fama and French三因子(MKT、SMB、HML),代码从网络整理,可以运行,数据可通过tushare pro下载。
基于python代码审计工具.zip
08-22
本次分享的“基于Python代码审计工具.zip”是一个压缩包文件,包含了完整的工作环境和相关代码审计工具。尽管具体的工具内容未在文件名称列表中详细给出,但从其标题可以推断,这个工具是专为Python项目设计的。这...
关于聚类问题的算法python代码实现-K-均值聚类方法
Sun123234的博客
06-25 9090
关于聚类问题的算法python代码实现-K-均值聚类方法
Python-Pylava是一个用于Python和JavaScript的代码审计工具
08-11
Pylava是一个用于Python和JavaScript的代码审计工具
python在审计中的应用-基于python的自动化代码审计
weixin_37988176的博客
11-01 2916
本文通过介绍在python开发中经常出现的常规web漏洞,然后通过静态和动态两种方式对python代码进行自动化审计挖掘漏洞,并且展示自动化系统在自动化审计python应用代码的成果,本文比较长,请耐心阅读,惊喜在后面。从python常规漏洞来看都有一个共同点,那就是危险函数中使用了可控参数,如system函数中使用到的("mv %s’% filename),如execute函数中使用到...
python项目代码审计_Python 安全 -代码审计
weixin_39997696的博客
11-29 406
Python 安全 -代码审计杀戮 (有事请 at 大号园长) | 2014-12-02 12:23这次来讲关于自动化审计方面的。OpenStack 团队出品过一个Python代码审计工具叫bandit,思路很牛逼,通过AST模块将源代码转换为Python语法树,由用户自定义对语法树的节点进行测试。这就需要大致讲下编译器是如何解析源代码的,编译器会先将源代码通过词法分析进行分割,就是说什么算一个词...
[De1CTF 2019]SSRF Me 1——python代码审计
m0_62879498的博客
05-09 765
[De1CTF 2019]SSRF Me 1 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__)
代码审计-Python Flask
梦想闹钟
10-14 1053
flask的session是通过加密后保存在cookie中的,有加密就需要有解密用的密钥,只要用到了flask的session模块,就一定要配置’SECRET_KEY’这个全局宏。jinja2是Flask作者开发的一个模板系统,起初是仿django模板的一个模板引擎,为Flask提供模板支持,由于其灵活,快速和安全等优点被广泛使用。也可以在攻击成功后生成并返回对应的payload。焚靖既可以作为命令行程序使用,也可以作为python库导入到脚本中,其还提供一个网页UI方便不熟悉命令行的选手使用。
Python代码审计》(1)一款超好用的代码扫描工具
午夜安全
12-16 3155
从本文开始,我将开始介绍Python代码审计代码审计是检查源代码中的安全缺陷,检查源代码是否存在安全隐患,或者编码不规范的地方。通常使用自动化工具或者人工审查的方式,自动化工具效率高,但是误报率也高,并且发现的问题不够深入、全面;人工审查的方式可以全面深入的发现源代码中的安全缺陷,缺点是耗时较长。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值