2024-11-08 厉飞雨 阅读(13) 评论(0) 赞(1)

> 个人笔记，不保证正确。 虽然说看到很多人不看好 asyncio，但是这个东西还是必须学的。。基于协程的异步，在很多语言中都有，学会了 Python 的，就一通百通。 一、生成器 generator {#一生成器-generator} --------------------------------- Python 的 asyncio 是通过 generator ...

2024-11-08 厉飞雨 阅读(20) 评论(0) 赞(3)

> 个人笔记，如有疏漏，还请指正。 使用多线程（threading）和多进程（multiprocessing）完成常规的并发需求，在启动的时候 start、join 等步骤不能省，复杂的需要还要用 1-2 个队列。随着需求越来越复杂，如果没有良好的设计和抽象这部分的功能层次，代码量越多调试的难度就越大。 对于需要并发执行、但是对实时性要求不高的任务，我们可以使用 co...

2024-11-08 厉飞雨 阅读(28) 评论(0) 赞(2)

> 个人笔记，不保证正确。 > 内容比较多，建议参照目录浏览。 一、标准库 {#一标准库} ------------- ### 1. 文件路径 - pathlib {#1-文件路径---pathlib} 提供了 OS 无关的文件路径抽象，可以完全替代旧的 `os.path` 和 `glob`. 学会了 `pathlib.Path`，你就会了 Python 处...

2024-11-07 厉飞雨 阅读(18) 评论(0) 赞(3)

原文我发表在先知技术社区： <https://xianzhi.aliyun.com/forum/read/615.html> ，转载请联系阿里云Aliyun_xianzhi@service.alibaba.com 。本文涉及版权问题，侵权者后果自负。 在C语言里有一类特别有趣的漏洞，格式化字符串漏洞。轻则破坏内存，重则读写任意地址内容，二进制的内容我就不说了，说也...

2024-11-07 厉飞雨 阅读(21) 评论(0) 赞(3)

前两天遇到的一个问题，起源是在某个数据包里看到`url=`这个关键字，当时第一想到会不会有SSRF漏洞。 以前乌云上有很多从SSRF打到内网并执行命令的案例，比如有通过SSRF+S2-016漏洞漫游内网的案例，十分经典。不过当时拿到这个目标，我只是想确认一下他是不是SSRF漏洞，没想到后面找到了很多有趣的东西。截图不多（有的是后面补得），大家凑合看吧。 [0x01 判断SS...

2024-11-07 厉飞雨 阅读(18) 评论(0) 赞(2)

Github账号被封了以后，Vulhub也无法继续更新了，余下很多时间，默默看了点代码，偶然还能遇上一两个漏洞，甚是有趣。 这个漏洞出现在python核心库http中，发送给官方团队后被告知撞洞了，且官方也认为需要更多人看看怎么修复这个问题，所以我们来分析一下。 [0x01 http.server库简单分析](#0x01-httpserver) {#0x01-httpser...

2024-11-07 厉飞雨 阅读(15) 评论(0) 赞(2)

这是发表在跳跳糖上的文章<https://www.tttang.com/archive/1294/>，如需转载，请联系跳跳糖。 这是一篇Code-Breaking 2018鸽了半年的Writeup，讲一讲Django模板引擎沙箱和反序列化时的沙箱，和如何手搓Python picklecode绕过反序列化沙箱。 源码与环境在这里：<https://githu...

2024-11-07 厉飞雨 阅读(18) 评论(0) 赞(2)

[0x01 SSRF漏洞常见防御手法及绕过方法](#0x01-ssrf) {#0x01-ssrf} ------------------------------------------------- SSRF是一种常见的Web漏洞，通常存在于需要请求外部内容的逻辑中，比如本地化网络图片、XML解析时的外部实体注入、软件的离线下载等。当攻击者传入一个未经验证的URL，后端代码直...

2024-11-07 厉飞雨 阅读(19) 评论(0) 赞(2)

Python作为新一代的web开发语言，不少互联网公司内外网使用其开发站点。Python web周边还存在redis、memcached、mongod、supervisord等等服务，我们结合这些服务的一系列安全问题，将可以做很多有趣的事情。 目标端口开放了 6379、8080\~8086、8889、8079 首先，8080\~8086、8889都是web服务，而且是一个站...

2024-11-07 厉飞雨 阅读(15) 评论(0) 赞(3)

前言：那天我正在开发网站最关键的部分------XSS过滤器，女神突然来电话说："那东西好难呀，别开发了，来我家玩吧！"。我"啪"地一下把电话挂了，想让我的网站出XSS漏洞，没门\~ python做web开发当今已经逐渐成为主流之一，但相关的一些第三方模块和库还没有php和node.js多。 比如XSS过滤组件，PHP下有著名的&qu...