[一起玩蛇】Python代码审计中的器II

【一起玩蛇】Python代码审计中的那些器I中,已经对一些常见的python安全知识与代码审计工具进行介绍,其中包括bandit、pyvulhunter、cobra,此外本篇将继续分享另一款工具pyt的使用心得。

在此之前,回顾一下Python代码审计的一些资源:

  • Python安全编码和代码审计(http://xxlegend.com/2015/07/30/Python%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%92%8C%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/)
  • Python eval的常见错误封装及利用原理(http://xxlegend.com/2015/07/31/Python%20eval%E7%9A%84%E5%B8%B8%E8%A7%81%E9%94%99%E8%AF%AF%E5%B0%81%E8%A3%85%E5%8F%8A%E5%88%A9%E7%94%A8%E5%8E%9F%E7%90%86/)
  • Code Review For Python-Based Web Apps(Code Review For Python-Based Web Apps)
  • Django 安全最佳实践(http://www.atjiang.com/2scoopsdjango1.8-26-security-best-practices/)

1、一起读书


首先,依旧是一些零碎的读书笔记分享,更多地,留给大家思考与回味。

在困惑,迷惘,徘徊,失望......各种悲观消极情绪出现的时候,总想一个人静静,喜欢不时地仔细思考,然后随手翻阅一番诸葛亮的《诫子书》以作警醒:

夫君子之行:

静以修身,俭以养德。

非淡泊无以明志,非宁静无以致远。

夫学须静也,才须学也。

非学无以广才,非静无以成学。

淫慢则不能励精,险躁不能治性。

年与时驰,意与岁去。

遂成枯落,多不接世。

悲守穷庐,将复何及!

2、系统部署


pyt是一款基于控制流、定点、数据流分析的python web应用静态分析软件,可以检测出命令执行、SQL注入、跨站脚本攻击、目录遍历等常见web漏洞。但在实际的使用场景中,并没有发现其强大的漏洞检测功能,相反地,并不是那么有效。

2.1 项目地址

项目地址:

https://github.com/python-security/pyt

2.2 环境部署

2.2.1 py3env

查看kali中是否存在py3相关文件夹

ls/usr/bin/python

在/home/Yxiu/下创建py3虚拟环境,目录为py3env

virtualenv -p/usr/bin/python3.6 py3env

激活python3环境

source /home/Yxiu/py3env/bin/activate

2.2.2 安装依赖包

进入根目录/home/Yxiu,下载源码

git clonehttps://github.com/python-security/pyt.git

进入源码文件夹下,安装依赖包

2.2.3 安装pyt

python setup.pyinstall

2.3 静态扫描

在项目文件夹中,执行pyt -h,查看使用方法

如果被扫描文件在本地且没有建项目,那么只能是用-f文件进行单个文件的扫描:

python -m pyt -f /home/Yxiu/Desktop/../../xx.py

2.4 结果分析

扫描结果便于查看,若不存在漏洞则显示: 0 vulnerabilities

3、漏洞靶场


当面对扫描结果 0 vulnerabilities时,开始有点产生质疑。于是乎,几经周折之后找到一款简易的python靶场--DSVW轻量级漏洞靶场(https://github.com/stamparm/DSVW)。

直接pull项目到本地,查看文件夹内容特别简单,仅一个py文件

在python 2.6.x或2.7.x环境中,直接运行即可启动漏洞环境

访问本地地址+端口65412,即可出现漏洞靶场,其中包括三种类型的SQL注入、万能密码、四种XSS、XML实体攻击…各种漏洞尽在<100Loc 的代码中。此外,每个漏洞都会有exp和漏洞info,对于使用者来说极其便利。

比如本地XML实体攻击:

http://127.0.0.1:65412/?xml=%3Croot%3E%3C%2Froot%3E

本地XML实体攻击的Exploit:

http://127.0.0.1:65412/?xml=%3C!DOCTYPE%20example%20%5B%3C!ENTITY%20xxe%20SYSTEM%20%22file%3A%2F%2FC%3A%2FWindows%2Fwin.ini%22%3E%5D%3E%3Croot%3E%26xxe%3B%3C%2Froot%3E

经受住各种漏洞环境检验的工具,才是好兵器。于是乎,忍不住想用DSVW来检验pyt的静态代码扫描功能。

明明是千疮百孔的漏洞靶场,竟然也是0漏洞!

4、总结回顾


无论是从自研系统的扫描结果,还是漏洞靶场DSVW,pyt的表现并不好。除了目前没有发现任何问题外,它对文件扫描只支持单文件,所以对于复杂的跨文件函数调用、类,效果堪忧。但是为什么在github上的star和fork如此之高?我想,还值得继续从源码层面来研究。

只有经过试错验证和所谓的“踩坑”,才能有所收获。

如果你有发现什么问题或有更好的想法,不防留言来撩~

原文发布于微信公众号 - 我的安全视界观(CANI_Security)

原文发表时间:2018-05-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ThoughtWorks

无法登录的用户

自从ins项目上线以后,团队其他成员都纷纷下了项目,只留下他这个项目经理留在一线解决问题。登录这块总是出现问题,上次就出现过一次,不过上次是机房网络原因,而这次...

971
来自专栏TSW

5201314对程序员意味着什么?

作为年轻人的潮流聚集地,Qzone在每个特殊的日子总会迎来一波猛烈的流量冲击。比如刚过去的520,下图是今年5月20号的流量情况:

2217
来自专栏CDN及云技术分享

原来你是这样的http2

目前HTTP/2.0(简称h2)已经在广泛使用(截止2018年8月根据Alexa流行度排名的头部1千万网站中,h2占比约29%,https://w3techs....

63513
来自专栏即时通讯技术

移动端IM开发需要面对的技术问题

P2P多见于局域网内聊天工具,典型的应用有:飞鸽传书、天网Maze(你懂的)等。这类软件在启动后一般做两件事情:

1201
来自专栏FreeBuf

点击一张图片背后的风险

* 本文原创作者:mscb,本文属FreeBuf原创奖励计划,未经许可禁止转载 你相信吗?仅仅是因为你点击了某个你一只在访问网站里的一张图片,导致你的用...

2147
来自专栏web前端教室

【亲测】前端如何写满你的硬盘?

今天偶然在网上看到一篇文章,说是前端如何机智的搞坏电脑。大意就是通过node搞一个服务,然后以get请求的方式通过localStorage,大量的向用户浏览器缓...

1274
来自专栏程序你好

微服务和传统中间件平台

微服务与部署在中间件平台(esb、应用服务器)上的传统服务有何不同?什么是微服务体系结构模式,它解决了什么问题?本文将讨论所有这些重要的主题,并描述如何管理、管...

992
来自专栏大魏分享(微信公众号:david-share)

从PowerVM,KVM到Docker:存储池的配置与调优---第一篇(第1子篇)

作者说明: 针对虚拟化中存储池的配置,笔者将书写一个系列作品,介绍从PowerVM到KVM再到Docker中存储池的配置与调优。似乎看起来三种技术没有什么关联性...

2925
来自专栏程序你好

一个微服务架构的简单示例

2453
来自专栏腾讯移动品质中心TMQ的专栏

【浅谈Chromium中的设计模式(一)】——Chromium中模块分层和进程模型

“EP”(中文:工程生产力)是目前项目中提升研发能力的一个很重要的衡量指标。笔者重点学习了Chromium产品是如何从代码和设计层面来保证快速高效的工程生产力。...

4528

扫码关注云+社区