51工具盒子

依楼听风雨
笑看云卷云舒,淡观潮起潮落

Python笔记

Python 异步编程笔记:asyncio

Python 异步编程笔记:asyncio

厉飞雨 阅读(269) 评论(0) 赞(28)

> 个人笔记,不保证正确。 虽然说看到很多人不看好 asyncio,但是这个东西还是必须学的。。基于协程的异步,在很多语言中都有,学会了 Python 的,就一通百通。 一、生成器 generator {#一生成器-generator} --------------------------------- Python 的 asyncio 是通过 generator ...

Python 并发编程:PoolExecutor 篇

Python 并发编程:PoolExecutor 篇

厉飞雨 阅读(316) 评论(0) 赞(16)

<blockquote> <p>个人笔记,如有疏漏,还请指正。</p> </blockquote> <p>使用多线程(threading)和多进程(multiprocessing)完成常规的并发需求,在启动的时候 start、join 等步骤不能省,复杂的需要还要用 1-2 个队列。随着需求越来越复杂,如果没有良好的设...

Python 实用技巧与常见错误集锦

Python 实用技巧与常见错误集锦

厉飞雨 阅读(257) 评论(0) 赞(14)

<blockquote> <p>个人笔记,不保证正确。 内容比较多,建议参照目录浏览。</p> </blockquote> <h2>一、标准库 {#一标准库}</h2> <h3>1. 文件路径 - pathlib {#1-文件路径---pathlib}</h3> <p>提...

Python安全 - 从SSRF到命令执行惨案

Python安全 - 从SSRF到命令执行惨案

厉飞雨 阅读(270) 评论(0) 赞(22)

前两天遇到的一个问题,起源是在某个数据包里看到`url=`这个关键字,当时第一想到会不会有SSRF漏洞。 以前乌云上有很多从SSRF打到内网并执行命令的案例,比如有通过SSRF+S2-016漏洞漫游内网的案例,十分经典。不过当时拿到这个目标,我只是想确认一下他是不是SSRF漏洞,没想到后面找到了很多有趣的东西。截图不多(有的是后面补得),大家凑合看吧。 [0x01 判断SS...

python http.server open redirect vulnerability

python http.server open redirect vulnerability

厉飞雨 阅读(420) 评论(0) 赞(22)

<p>Github账号被封了以后,Vulhub也无法继续更新了,余下很多时间,默默看了点代码,偶然还能遇上一两个漏洞,甚是有趣。</p> <p>这个漏洞出现在python核心库http中,发送给官方团队后被告知撞洞了,且官方也认为需要更多人看看怎么修复这个问题,所以我们来分析一下。</p> <h2><a href...

Code-Breaking中的两个Python沙箱

Code-Breaking中的两个Python沙箱

厉飞雨 阅读(464) 评论(0) 赞(20)

<p>这是发表在跳跳糖上的文章<a href="https://www.tttang.com/archive/1294/">https://www.tttang.com/archive/1294/</a>,如需转载,请联系跳跳糖。</p> <p>这是一篇Code-Breaking 2018鸽了半年的...

谈一谈如何在Python开发中拒绝SSRF漏洞

谈一谈如何在Python开发中拒绝SSRF漏洞

厉飞雨 阅读(422) 评论(0) 赞(16)

<h2><a href="#0x01-ssrf">0x01 SSRF漏洞常见防御手法及绕过方法</a> {#0x01-ssrf}</h2> <p>SSRF是一种常见的Web漏洞,通常存在于需要请求外部内容的逻辑中,比如本地化网络图片、XML解析时的外部实体注入、软件的离线下载等。当攻击者传入一个未经...

掌阅iReader某站Python漏洞挖掘

掌阅iReader某站Python漏洞挖掘

厉飞雨 阅读(385) 评论(0) 赞(18)

<p>Python作为新一代的web开发语言,不少互联网公司内外网使用其开发站点。Python web周边还存在redis、memcached、mongod、supervisord等等服务,我们结合这些服务的一系列安全问题,将可以做很多有趣的事情。</p> <p>目标端口开放了 6379、8080~8086、8889、8079</p&g...