Python——flask漏洞探究总结（持续更新）

最新推荐文章于 2024-10-07 21:41:43 发布

kuller_Yan

最新推荐文章于 2024-10-07 21:41:43 发布

阅读量2.8k

点赞数

文章标签： python

本文链接：https://blog.youkuaiyun.com/kuller_Yan/article/details/105399371

版权

本文探讨了如何通过Python的继承机制，利用Flask框架进行文件读取和命令执行的漏洞。流程包括查找父类object，搜索子类，定位涉及命令执行或文件操作的模块，以及利用特定的魔术方法。详细介绍了获取字符串类对象、寻找基类和可引用的方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

通过python的对象的继承来一步步实现文件读取和命令执行的的。

流程：

找到父类<type ‘object’>–>寻找子类–>找关于命令执行或者文件操作的模块。

几个魔术方法：

__class__  返回类型所属的对象
__mro__    返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。
__base__   返回该对象所继承的基类
// __base__和__mro__都是用来寻找基类的

__subclasses__   每个新类都保留了子类的引用，这个方法返回一个类中仍然可用的的引用的列表
__init__  类的初始化方法
__globals__  对包含函数全局变量的字典的引用

1 、获取字符串的类对象：

>>> ''.__class__
<type 'str'>

2:寻找基类：

>>> ''.__class__.__mro__
(<type 'str'>, <type 'basestring'>, <type 'object'>)

3：寻找可引用：

>>> ''.__class__.__mro__[2].__subclasses__()
[<type 'type'>, <typ

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

kuller_Yan

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Python安全编程：避免常见安全漏洞及防范措施

AI天才研究院

08-11

494

2021年，随着AI领域的火爆、互联网平台的壮大、传统行业的转型升级，企业应用机器学习技术解决了很多问题。然而，在实际生产环境中，仍然存在一些安全风险需要注意，如数据泄露、网络攻击、程序漏洞等。本文将以实际案例出发，深入分析并总结目前已知的“Python安全编程”相关的常见安全漏洞及防范措施，为Python开发者提供一个可行的安全防护策略。静态代码检查工具的使用Python代码安全之依赖包管理文件上传漏洞SQL注入攻击CSRF跨站请求伪造密码散列函数的选择Flask框架安全配置。

Python Flask的安全漏洞防范

最新发布

Python编程之道的博客

04-03

1040

随着Web应用的广泛发展，Python Flask作为一个轻量级的Web框架，因其简洁易用、灵活高效的特点，被众多开发者所青睐。然而，由于Web应用面临着各种安全威胁，Flask应用也不例外。本文章的目的是深入探讨Python Flask应用中可能存在的安全漏洞，并提供相应的防范措施。范围涵盖了常见的安全漏洞类型，如SQL注入、XSS、CSRF等，以及针对这些漏洞的具体防范方法和代码示例。本文首先对Python Flask框架进行简要介绍，然后详细分析常见的安全漏洞类型及其原理和危害。

参与评论您还未登录，请先登录后发表或查看评论

【SSTI模块注入】SSTI+Flask+Python（中）：漏洞利用

07-25

1216

【SSTI】漏洞利用

Flask 0.12.2版本被发现包含安全漏洞，请考虑升级！

weixin_33828101的博客

08-25

436

漏洞描述这个漏洞（CVE-2018-1000656）四天前（8月20号）被发布在NVD（National Vulnerability Database，国家漏洞数据库）上，漏洞描述如下：The Pallets Project flask version Before 0.12.3 contains a CWE-20: Improper Input Validation vulnerabili...

Flask（Jinja2）服务端漏洞

weixin_59872639的博客

03-18

804

先来看一下代码：在浏览器中输入 http://your-ip:8000/?name=aaa 会出现 hello aaa 在name后面也可以输入其他东西，比如： http://192.168.147.139:8000/?name={{123*123}} http://your-ip/?name={{'aaa'.upper()}} 任意命令执行的方法，需要在python里要执行系统命令需要import os模块。想要在模板中直接调用内置模块 os，即需要在模板环.

Flask服务端模板(Jinja2) SSTI 注入漏洞

weixin_51387754的博客

11-22

1507

漏洞简介 flask/ssti漏洞，即: Flask（Jinja2）服务端模板注入漏洞(SSTI)。Flask 是一个使用 Python 编写的轻量级 Web 应用框架，Flask 为你提供工具，库和技术来允许你构建一个 web 应用程序。这个 web 应用程序可以是一些 web 页面、博客、wiki、基于 web 的日历应用或商业网站。Jinja 2是一种面向Python的现代和设计友好的模板语言。影响版本使用Flask框架开发并且使用Jinja2模板引擎，最重要的是模板内容可控。满足该条件的Fla

Flask框架漏洞：SSTI

glass_york的博客

12-01

2517

SSTI 是 Server-Side Template Injection即服务端模板注入，它是一种安全漏洞攻击技术。当应用程序在服务器端使用模板引擎来呈现动态生成的内容时，如果用户可以控制模板引擎的输入，就可能导致 SSTI 漏洞。在正常情况下，模板引擎被设计用于安全地将预定义的模板与数据进行组合，生成最终的输出。但是，SSTI 漏洞允许攻击者在应用程序的上下文中执行任意的服务器端代码。当攻击者能够通过用户输入或其他外部来源插入恶意的模板代码时，就会产生一系列问题。

python+flask计算机毕业设计热点推荐个性化新闻系统（程序+开题+论文）

语琴学姐毕设

09-14

1441

python+flask计算机毕业设计汽车租赁系统的设计与实现（程序+开题+论文）

语琴学姐毕设

09-20

930

本研究将围绕汽车租赁系统的核心功能展开，具体内容包括但不限于以下几个方面：首先，设计并实现租车用户模块，涵盖用户注册、登录、个人信息管理、租车历史查询等功能，确保用户能够方便快捷地完成租车流程；具体而言，该系统旨在满足租车用户多样化的用车需求，提供便捷的租车流程、丰富的租车模式选择及个性化的租车优惠；本研究的意义在于通过构建一套先进的汽车租赁系统，不仅能够提升用户的租车体验，实现快速预约、便捷租车、灵活还车等功能，还能帮助租赁公司优化资源配置，提高运营效率，降低运营成本。特点包括简单性、灵活性和易于扩展。

基于python+flask框架的基于Web的在线考试管理信息系统（开题+程序+论文）计算机毕设

zhihao508的博客

09-19

1169

本研究内容围绕基于Web的在线考试管理信息系统的设计与实现展开，主要包括以下几个方面：首先，对系统需求进行深入分析，明确系统需具备的资料类型管理功能，如试题库、试卷模板等，确保考试资源的丰富性和多样性；最后，确保系统整体的安全性和稳定性，包括数据加密、访问控制及故障恢复等机制，保障考试过程的公正性和数据的完整性。该系统需具备资料管理、考试资料发布、学生考试管理、教师阅卷及成绩统计等功能模块，旨在实现考试流程的全面数字化管理，提高考试管理的效率和准确性，为师生提供便捷、高效的在线考试服务。

基于python+flask框架的植物租赁服务系统的设计与实现（开题+程序+论文）计算机毕设

zhihao508的博客

10-07

757

因此，植物租赁服务应运而生，它通过提供植物租赁、养护、更换等一站式服务，解决了人们在享受绿色环境时遇到的实际困难。其次，该系统通过提供专业的养护服务和及时的植物更换，确保了植物的健康生长和持久美观，为用户提供了稳定的环境改善效果。本研究的主要目的是设计并实现一个功能完善的植物租赁服务系统，该系统应能够满足用户多样化的植物租赁需求，提供便捷的植物选择、租赁、养护、更换等全流程服务。通过系统的应用，旨在提升植物租赁服务的整体质量，优化用户体验，同时推动植物租赁行业的数字化转型和智能化升级。

Flask（Jinja2）服务端模板注入漏洞（SSTI）整理

qq_46145027的博客

04-19

1878

整理一下Flask框架下的SSTI漏洞相关知识

Flask框架远程命令执行-学习笔记

小龙在线

08-17

891

实验介绍 #coding=UTF-8 from flask import Flask, request, render_template_string, render_template import os import string app = Flask(__name__) @app.route('/news/') def news(): user = {'id':"admin", 'password':"admin888"} if request.args.get('id'):

Python flask框架（2）

m0_49673695的博客

11-05

346

一些概念 WSGI Web Server Gateway Interface:web服务器网关接口，是为Python语言定义的Web服务器和Web应用程序或框架之间的一种简单而通用的接口。 IP地址 IP地址由网络地址和主机地址组成，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。端口号所谓的端口，就好像是门牌号一样，客户端可以通过ip地址找到对应的服务器端，但是服务器端是有很多端口的，（一台计算机上可以同时提供很多个服务），每个应用程序对应一个端口号，通过类似门牌号的

Django及Flask漏洞合集

小小猪的博客

08-20

3675

Django漏洞 Django任意代码执行 poc: import os os.environ.setdefault('DJANGO_SETTINGS_MODULE','settings') from django.conf import settings from django.core import signing from django.contrib.sessions.backends import signed_cookies class

flask框架漏洞

JJT

05-14

7846

在ctf里遇到了关于flask框架漏洞的题，此篇博文较为详细转自https://www.jianshu.com/p/56614e46093e 一、简介 Flask 是一个使用 Python 编写的轻量级 Web 应用框架。Flask 依赖两个外部库： Jinja2模板引擎和WSGI 工具集。 1、常用概念 WSGI 只是一种接口,它只适用于 Python 语言，其全称为 Web Server Gateway Interface，定义了 web服务器和 web应用之间的接口规范。也就是说，只要 w.

python框架漏洞

weixin_68408599的博客

12-10

1629

此博客讲述的是基于python框架的各种漏洞复现以及原理，包括sql注入以及ssti模板注入进行复现的过程，以及造成漏洞形成的粗略原理，靶场环境来自vulhub。

网络安全测试中的跨站点脚本攻击(XSS):Python和FlaskSecurity实现跨站脚本攻击测试

AI天才研究院

07-04

4160

作者：禅与计算机程序设计艺术《33. 网络安全测试中的跨站点脚本攻击(XSS):Python和Flask-Security实现跨站脚本攻击测试》引言

Flask SSTI漏洞介绍及利用

JCPS_Y的博客

10-23

2930

Flask SSTI漏洞介绍及利用