安全脉搏

5

文章

69

积分

0

收藏

0

关注

3

粉丝

至今.

2018-10-10
Web安全

安全开发之subprocess库若干函数中以数组形式传参的安全性分析 

0x00. 引言眼下,与Python相关的安全问题愈发引起人们的注意,本文以最为常用的外部程序调用库(也可称为子进程库)的subprocess库为例,分析其若干函数中的数组传参时引发的安全问题,详文如…

2018-10-8
CTF

记一道CTF 中遇到的SQL注入新型万能密码问题 

0x00. 引言我们平时遇到的SQL注入万能密码都是形如admin' or '1'='1, 这种使用or 关键字使得查询结果永真,或者形如:' UNION Se…

2018-10-8
代码审计

从源码角度理解Django中给特定视图函数放开CSRF校验的原理 

0x00. 引言公司内部自动化代码审计系统需要将每次审计结果推送至堡垒机存储,最开始,每次推送都失败,后来查明是因为触发了堡垒机的CSRF校验机制。所以希望对这个推送接口关闭CSRF校验,最后发现可以…

2018-10-7
工具

如何给领导呈现更好看的Nmap扫描报告 

0x00. 引言nmap的扫描报告结果一般是xml格式,不便于传阅,通常会使用xsltproc 工具将xml 格式的文档转换成html格式,其转换原理是根据nmap自带的xsl模板(一般位于…

2018-9-13
Web安全

安全开发之浅析索引Python input 函数存在的安全风险 

0x00. 前言input 是 Python3.x 和Python2.x 都内置的用于接受标准输入数据的函数。在Python2.x中,与input 有类似功能的还有raw_input函数,与input…